Cloud Build menggunakan akun layanan khusus untuk menjalankan build atas nama Anda. Saat Anda mengaktifkan Cloud Build API di project Google Cloud, akun layanan Cloud Build otomatis dibuat dan diberi peran Cloud Build Service Account untuk project tersebut. Peran ini memberi akun layanan izin untuk melakukan beberapa tugas, tetapi Anda dapat memberikan lebih banyak izin ke akun layanan untuk melakukan tugas tambahan. Halaman ini menjelaskan cara memberikan dan mencabut izin ke akun layanan Cloud Build.
Sebelum memulai
- Pahami peran dan izin Cloud Build.
- Baca Akun layanan Cloud Build.
Memberikan peran ke akun layanan Cloud Build menggunakan halaman Setelan
Anda dapat memberikan peran IAM tertentu yang umum digunakan ke akun layanan Cloud Build menggunakan halaman Setelan Cloud Build di Konsol Google Cloud:
Buka halaman Cloud Build Settings:
Buka halaman Setelan Cloud Build
Anda akan melihat halaman Izin akun layanan:
Tetapkan status peran yang ingin Anda tambahkan ke Aktifkan.
Memberikan peran ke akun layanan Cloud Build menggunakan halaman IAM
Jika peran yang ingin Anda berikan tidak tercantum di halaman Cloud Build Settings di Google Cloud Console, gunakan halaman IAM untuk memberikan peran tersebut:
Buka halaman IAM:
Pilih project Google Cloud Anda.
Di atas tabel izin, pilih kotak centang Include Google-available role Grants.
Anda akan melihat bahwa lebih banyak baris muncul di tabel izin.
Di tabel izin, cari baris dengan alamat email yang diakhiri dengan
@cloudbuild.gserviceaccount.com. Ini adalah akun layanan Cloud Build Anda.Klik ikon pensil.
Pilih peran yang ingin Anda berikan ke akun layanan Cloud Build.
Klik Simpan.
Mencabut peran dari akun layanan Cloud Build
Buka halaman IAM:
Pilih project Google Cloud Anda.
Di atas tabel izin, pilih kotak centang Include Google-available role Grants.
Anda akan melihat bahwa lebih banyak baris muncul di tabel izin.
Di tabel izin, cari baris dengan alamat email yang diakhiri dengan
@cloudbuild.gserviceaccount.com. Ini adalah akun layanan Cloud Build Anda.Klik ikon pensil.
Temukan peran yang ingin dicabut, lalu klik ikon hapus sampah di samping peran.
Memberikan peran ke agen layanan Cloud Build
Selain akun layanan Cloud Build, Cloud Build memiliki akun layanan lain yang dikelola Google dan disebut Agen Layanan Cloud Build yang memungkinkan layanan Google Cloud lainnya mengakses resource Anda. Saat Anda mengaktifkan Cloud Build API, agen layanan akan otomatis dibuat di project Google Cloud. Agen layanan memiliki format berikut, dengan PROJECT_NUMBER sebagai nomor project Anda.
service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
Anda dapat melihat agen layanan untuk suatu project dengan membuka halaman IAM di Google Cloud Console dan memilih kotak centang Tampilkan akun layanan terkelola google.
Jika tidak sengaja menghapus agen layanan Cloud Build dari project, Anda dapat menambahkannya secara manual menggunakan langkah-langkah berikut:
Konsol
Buka halaman IAM di Konsol Google Cloud:
Klik Berikan akses.
Tambahkan akun utama berikut, dengan
PROJECT_NUMBERsebagai nomor project Anda:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.comPilih Agen Layanan > Agen Layanan Cloud Build sebagai peran Anda.
Klik Simpan.
gcloud
Berikan peran IAM roles/cloudbuild.serviceAgent ke agen layanan Cloud Build:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
--role="roles/cloudbuild.serviceAgent"
Ganti nilai placeholder dalam perintah dengan kode berikut:
PROJECT_ID: ID projectPROJECT_NUMBER: Nomor project
Langkah selanjutnya
- Pelajari akun layanan yang ditetapkan pengguna.
- Pelajari akun layanan secara mendalam.
- Pelajari cara mengonfigurasi akses ke resource Cloud Build.
- Pelajari izin yang diperlukan untuk melihat log build.