Mengonfigurasi akses untuk Akun Layanan Cloud Build

Cloud Build menggunakan akun layanan khusus untuk menjalankan build atas nama Anda. Saat Anda mengaktifkan Cloud Build API di project Google Cloud, akun layanan Cloud Build otomatis dibuat dan diberi peran Cloud Build Service Account untuk project tersebut. Peran ini memberi akun layanan izin untuk melakukan beberapa tugas, tetapi Anda dapat memberikan lebih banyak izin ke akun layanan untuk melakukan tugas tambahan. Halaman ini menjelaskan cara memberikan dan mencabut izin ke akun layanan Cloud Build.

Sebelum memulai

Memberikan peran ke akun layanan Cloud Build menggunakan halaman Setelan

Anda dapat memberikan peran IAM tertentu yang umum digunakan ke akun layanan Cloud Build menggunakan halaman Setelan Cloud Build di Konsol Google Cloud:

  1. Buka halaman Cloud Build Settings:

    Buka halaman Setelan Cloud Build

    Anda akan melihat halaman Izin akun layanan:

    Screenshot halaman izin akun Layanan

  2. Tetapkan status peran yang ingin Anda tambahkan ke Aktifkan.

Memberikan peran ke akun layanan Cloud Build menggunakan halaman IAM

Jika peran yang ingin Anda berikan tidak tercantum di halaman Cloud Build Settings di Google Cloud Console, gunakan halaman IAM untuk memberikan peran tersebut:

  1. Buka halaman IAM:

    Buka halaman IAM

  2. Pilih project Google Cloud Anda.

  3. Di atas tabel izin, pilih kotak centang Include Google-available role Grants.

    Anda akan melihat bahwa lebih banyak baris muncul di tabel izin.

  4. Di tabel izin, cari baris dengan alamat email yang diakhiri dengan @cloudbuild.gserviceaccount.com. Ini adalah akun layanan Cloud Build Anda.

  5. Klik ikon pensil.

  6. Pilih peran yang ingin Anda berikan ke akun layanan Cloud Build.

  7. Klik Simpan.

Mencabut peran dari akun layanan Cloud Build

  1. Buka halaman IAM:

    Buka halaman IAM

  2. Pilih project Google Cloud Anda.

  3. Di atas tabel izin, pilih kotak centang Include Google-available role Grants.

    Anda akan melihat bahwa lebih banyak baris muncul di tabel izin.

  4. Di tabel izin, cari baris dengan alamat email yang diakhiri dengan @cloudbuild.gserviceaccount.com. Ini adalah akun layanan Cloud Build Anda.

  5. Klik ikon pensil.

  6. Temukan peran yang ingin dicabut, lalu klik ikon hapus sampah di samping peran.

Memberikan peran ke agen layanan Cloud Build

Selain akun layanan Cloud Build, Cloud Build memiliki akun layanan lain yang dikelola Google dan disebut Agen Layanan Cloud Build yang memungkinkan layanan Google Cloud lainnya mengakses resource Anda. Saat Anda mengaktifkan Cloud Build API, agen layanan akan otomatis dibuat di project Google Cloud. Agen layanan memiliki format berikut, dengan PROJECT_NUMBER sebagai nomor project Anda.

     service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com

Anda dapat melihat agen layanan untuk suatu project dengan membuka halaman IAM di Google Cloud Console dan memilih kotak centang Tampilkan akun layanan terkelola google.

Jika tidak sengaja menghapus agen layanan Cloud Build dari project, Anda dapat menambahkannya secara manual menggunakan langkah-langkah berikut:

Konsol

  1. Buka halaman IAM di Konsol Google Cloud:

    Buka halaman IAM

  2. Klik Berikan akses.

  3. Tambahkan akun utama berikut, dengan PROJECT_NUMBER sebagai nomor project Anda:

    service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
    
  4. Pilih Agen Layanan > Agen Layanan Cloud Build sebagai peran Anda.

  5. Klik Simpan.

gcloud

Berikan peran IAM roles/cloudbuild.serviceAgent ke agen layanan Cloud Build:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
    --role="roles/cloudbuild.serviceAgent"

Ganti nilai placeholder dalam perintah dengan kode berikut:

  • PROJECT_ID: ID project
  • PROJECT_NUMBER: Nomor project

Langkah selanjutnya