Cloud Build verwendet ein spezielles Dienstkonto, um Builds für Sie auszuführen. Wenn Sie die Cloud Build API für ein Google Cloud-Projekt aktivieren, wird das Cloud Build-Dienstkonto automatisch erstellt und erhält die Cloud Build-Dienstkontorolle für das Projekt. Mit dieser Rolle erhält das Dienstkonto Berechtigungen zum Ausführen mehrerer Aufgaben. Sie können dem Dienstkonto jedoch weitere Berechtigungen erteilen, um zusätzliche Aufgaben auszuführen. Auf dieser Seite wird erläutert, wie Sie dem Cloud Build-Dienstkonto Berechtigungen erteilen und entziehen.
Hinweis
- Informationen zu Cloud Build-Rollen und -Berechtigungen
- Lesen Sie Cloud Build-Dienstkonto.
Rolle "Cloud Build"-Dienstkonto über die Seite "Einstellungen" zuweisen
Sie können Cloud Build bestimmte häufig verwendete IAM-Rollen zuweisen Dienstkonto mithilfe der Cloud Build-Seite „Einstellungen“ in der Google Cloud Console:
Öffnen Sie die Seite mit den Cloud Build-Einstellungen:
Zur Seite mit den Cloud Build-Einstellungen
Sie sehen die Seite Dienstkontoberechtigungen:
Legen Sie den Status der Rolle, die Sie hinzufügen möchten, auf Aktivieren fest.
Cloud Build-Dienstkonto über die IAM-Seite eine Rolle zuweisen
Wenn die Rolle, die Sie gewähren möchten, nicht auf der Seite mit den Cloud Build-Einstellungen aufgeführt ist Verwenden Sie in der Google Cloud Console die Seite „IAM“, um die Rolle zu gewähren:
Zur Seite "IAM":
Wählen Sie Ihr Google Cloud-Projekt aus.
Wählen Sie über der Berechtigungstabelle Kästchen Von Google bereitgestellte Rollenzuweisungen einbeziehen anklicken.
Jetzt werden in der Berechtigungstabelle mehr Zeilen angezeigt.
Suchen Sie in der Tabelle mit den Berechtigungen nach der Zeile, deren E-Mail-Adresse mit
@cloudbuild.gserviceaccount.com
endet. Dies ist Ihr Cloud Build-Dienstkonto.Klicken Sie auf das Stiftsymbol.
Wählen Sie die Rolle aus, die Sie dem Cloud Build-Dienst gewähren möchten Konto.
Klicken Sie auf Speichern.
Rolle aus dem Cloud Build-Dienstkonto widerrufen
Zur Seite "IAM":
Wählen Sie Ihr Google Cloud-Projekt aus.
Wählen Sie über der Berechtigungstabelle Kästchen Von Google bereitgestellte Rollenzuweisungen einbeziehen anklicken.
Jetzt werden in der Berechtigungstabelle mehr Zeilen angezeigt.
Suchen Sie in der Tabelle mit den Berechtigungen nach der Zeile, deren E-Mail-Adresse mit
@cloudbuild.gserviceaccount.com
endet. Dies ist Ihr Cloud Build-Dienstkonto.Klicken Sie auf das Stiftsymbol.
Suchen Sie die Rolle, die Sie widerrufen möchten, und klicken Sie auf den Papierkorb neben der Rolle.
Cloud Build-Dienst-Agent eine Rolle zuweisen
Zusätzlich zum Cloud Build-Dienstkonto
hat einen Cloud Build-Dienst-Agent, der andere Google Cloud-Dienste
um auf Ihre Ressourcen zuzugreifen. Nach der Aktivierung von Cloud Build
API wird der Dienst-Agent automatisch im Google Cloud-Projekt erstellt.
Der Dienst-Agent hat das folgende Format, wobei PROJECT_NUMBER
Ihre Projektnummer ist:
service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
Sie können den Dienst-Agent für ein Projekt ansehen, indem Sie die IAM-Seite in der Google Cloud Console und aktivieren Sie das Kästchen Von Google verwaltete Dienstkonten anzeigen.
Wenn Sie versehentlich die Rolle des Cloud Build-Dienst-Agents widerrufen haben für Ihr Projekt haben, können Sie diese manuell gewähren. Gehen Sie dazu so vor:
Console
Öffnen Sie in der Google Cloud Console die Seite IAM:
Klicken Sie auf Zugriff erlauben.
Fügen Sie das folgende Hauptkonto hinzu, wobei
PROJECT_NUMBER
Ihre Projektnummer ist:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
Wählen Sie Service Management > Cloud Build-Dienst-Agent als Rolle aus.
Klicken Sie auf Speichern.
gcloud
Weisen Sie dem Cloud Build-Dienst-Agent die IAM-Rolle roles/cloudbuild.serviceAgent
zu:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
--role="roles/cloudbuild.serviceAgent"
Ersetzen Sie die Platzhalterwerte im Befehl durch Folgendes:
PROJECT_ID
: die Projekt-IDPROJECT_NUMBER
: die Projektnummer
Nächste Schritte
- Benutzerdefinierten Dienstkonten
- Weitere Informationen zu Dienstkonten lesen
- Zugriff auf Cloud Build-Ressourcen konfigurieren
- Weitere Informationen zu den Berechtigungen zum Aufrufen von Build-Logs