O Cloud Build usa uma conta de serviço padrão para executar builds em seu nome. Por exemplo, quando a conta de serviço legada do Cloud Build ela recebe automaticamente a conta de serviço do Cloud Build e o papel dele no projeto. Esse papel concede à conta de serviço permissões realizar várias tarefas, mas você pode conceder mais permissões à conta de serviço tarefas. Nesta página, explicamos como conceder e revogar permissões para a conta de serviço padrão do Cloud Build.
Antes de começar
- Entenda os papéis e permissões do Cloud Build.
- Leia Conta de serviço padrão do Cloud Build.
Como conceder um papel à conta de serviço padrão do Cloud Build usando a página "Configurações"
É possível conceder papéis do IAM usados com frequência ao conta de serviço padrão usando a página "Configurações do Cloud Build" no console do Google Cloud:
Abra a página "Configurações" do Cloud Build:
Abrir a página "Configurações do Cloud Build"
Você verá a página Permissões da conta de serviço:
Use o menu suspenso para selecionar a conta de serviço que você quer atualizar.
Defina o status do papel que você quer adicionar a Ativar.
Como conceder um papel à conta de serviço padrão do Cloud Build usando a página do IAM
Se o papel que você quer conceder não estiver listado na página "Configurações" do Cloud Build No console do Google Cloud, use a página do IAM para conceder o papel:
Abra a página do IAM:
Selecione seu projeto do Google Cloud.
Acima da tabela de permissões, selecione a Incluir a caixa de seleção de papéis fornecidos pelo Google.
Mais linhas vão aparecer na tabela de permissões.
Na tabela de permissões, encontre sua conta de serviço padrão do Cloud Build.
Clique no ícone de lápis.
Selecione o papel que você quer conceder à conta de serviço do Cloud Build.
Clique em Salvar.
Como revogar um papel da conta de serviço do Cloud Build
Abra a página do IAM:
Selecione seu projeto do Google Cloud.
Acima da tabela de permissões, selecione a Incluir a caixa de seleção de papéis fornecidos pelo Google.
Mais linhas vão aparecer na tabela de permissões.
Na tabela de permissões, encontre sua conta de serviço padrão do Cloud Build.
Clique no ícone de lápis.
Localize o papel que você quer revogar e clique na lixeira ao lado do papel.
Como conceder um papel ao agente de serviço do Cloud Build
Além da conta de serviço padrão do Cloud Build,
O Cloud Build tem um agente de serviço do Cloud Build que permite
outros serviços do Google Cloud para acessar seus recursos. Depois de ativar a
API Cloud Build, o agente de serviço é criado automaticamente no
projeto do Google Cloud. O agente de serviço tem o seguinte formato, em que PROJECT_NUMBER
é o número do projeto:
service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
Para conferir o agente de serviço de um projeto, acesse a página IAM no console do Google Cloud e marque a caixa de seleção Mostrar contas de serviço gerenciadas do Google.
Se você tiver revogado acidentalmente o papel do agente de serviço do Cloud Build no seu projeto, é possível concedê-la manualmente usando as seguintes etapas:
Console
Abra a página IAM no console do Google Cloud:
Clique em Conceder acesso.
Adicione a seguinte conta principal, em que
PROJECT_NUMBERé o número do projeto:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.comSelecione Agentes de serviço > Agente de serviço do Cloud Build como seu papel.
Clique em Save.
gcloud
Conceda o papel roles/cloudbuild.serviceAgent do IAM ao
agente de serviço do Cloud Build:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
--role="roles/cloudbuild.serviceAgent"
Substitua os valores de marcador no comando pelo seguinte:
PROJECT_ID: o ID do projetoPROJECT_NUMBER: o número do projeto
A seguir
- Saiba mais sobre contas de serviço especificadas pelo usuário.
- Saiba mais detalhes sobre as contas de serviço.
- Saiba como configurar o acesso aos recursos do Cloud Build.
- Saiba mais sobre as permissões necessárias para visualizar os registros de versão.