Cloud Build utilise un compte de service spécial pour exécuter des compilations en votre nom. Lorsque vous activez l'API Cloud Build sur un projet Google Cloud, le compte de service Cloud Build est automatiquement créé et reçoit le rôle de compte de service Cloud Build pour le projet. Ce rôle donne au compte de service l'autorisation d'exécuter plusieurs tâches. Toutefois, vous pouvez accorder d'autres autorisations au compte de service pour effectuer d'autres tâches. Cette page explique comment accorder et révoquer des autorisations sur le compte de service Cloud Build.
Avant de commencer
- Comprendre les rôles et autorisations Cloud Build
- Lisez la section Compte de service Cloud Build.
Attribuer un rôle au compte de service Cloud Build à l'aide de la page Paramètres
Vous pouvez attribuer certains rôles IAM couramment utilisés compte de service à l'aide de la page "Paramètres Cloud Build" de la console Google Cloud:
Accédez à la page "Paramètres" de Cloud Build.
Accéder à la page Paramètres de Cloud Build
La page "Autorisations de compte de service" s'affiche alors :
Définissez le rôle que vous souhaitez ajouter sur l'état Activé.
Attribuer un rôle au compte de service Cloud Build à l'aide de la page IAM
Si le rôle que vous souhaitez attribuer ne figure pas sur la page "Paramètres" de Cloud Build de la console Google Cloud, utilisez la page "IAM" pour accorder le rôle:
Ouvrez la page "IAM" :
Sélectionnez votre projet Google Cloud.
Au-dessus du tableau des autorisations, sélectionnez Case à cocher Inclure les attributions de rôles fournies par Google.
Le tableau des autorisations comporte davantage de lignes.
Dans le tableau des autorisations, localisez la ligne dont l'adresse e-mail se termine par
@cloudbuild.gserviceaccount.com
. Il s'agit du compte de service Cloud Build.Cliquez sur l'icône en forme de crayon.
Sélectionnez le rôle que vous souhaitez attribuer au service Cloud Build Google Cloud.
Cliquez sur Enregistrer.
Révoquer un rôle à partir du compte de service Cloud Build
Ouvrez la page "IAM" :
Sélectionnez votre projet Google Cloud.
Au-dessus du tableau des autorisations, sélectionnez Case à cocher Inclure les attributions de rôles fournies par Google.
Le tableau des autorisations comporte davantage de lignes.
Dans le tableau des autorisations, localisez la ligne dont l'adresse e-mail se termine par
@cloudbuild.gserviceaccount.com
. Il s'agit du compte de service Cloud Build.Cliquez sur l'icône en forme de crayon.
Recherchez le rôle que vous souhaitez révoquer, puis cliquez sur la corbeille à côté du rôle.
Attribuer un rôle à l'agent de service Cloud Build
En plus du compte de service Cloud Build, Cloud Build
dispose d'un agent de service Cloud Build qui permet à d'autres
pour accéder à vos ressources. Après avoir activé Cloud Build
API, l'agent de service est automatiquement créé dans le projet Google Cloud.
L'agent de service a le format suivant, où PROJECT_NUMBER
est le numéro de votre projet.
service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
Vous pouvez afficher l'agent de service d'un projet en accédant à la Page "IAM" de la console Google Cloud et cochez la case Afficher les comptes de service gérés par Google.
Si vous avez accidentellement révoqué le rôle de l'agent de service Cloud Build sur votre projet, vous pouvez l'accorder manuellement en procédant comme suit:
Console
Ouvrez la page IAM dans la console Google Cloud:
Cliquez sur Accorder l'accès.
Ajoutez le compte principal suivant, où
PROJECT_NUMBER
correspond au numéro de votre projet :service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
Pour votre rôle, sélectionnez Agents de service > Agent de service Cloud Build.
Cliquez sur Enregistrer.
gcloud
Accordez le rôle IAM roles/cloudbuild.serviceAgent
à l'agent de service Cloud Build:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
--role="roles/cloudbuild.serviceAgent"
Remplacez les valeurs d'espace réservé dans la commande par les éléments suivants :
PROJECT_ID
: ID du projetPROJECT_NUMBER
: numéro du projet
Étape suivante
- Apprenez-en plus sur les comptes de service spécifiés par l'utilisateur.
- Découvrez en détail les comptes de service.
- Découvrez comment configurer l'accès aux ressources Cloud Build.
- Apprenez-en plus sur les autorisations requises pour afficher les journaux de compilation.