Configurer l'accès pour le compte de service Cloud Build

Cloud Build utilise un compte de service spécial pour exécuter des compilations en votre nom. Lorsque vous activez l'API Cloud Build sur un projet Google Cloud, le compte de service Cloud Build est automatiquement créé et reçoit le rôle de compte de service Cloud Build pour le projet. Ce rôle donne au compte de service l'autorisation d'exécuter plusieurs tâches. Toutefois, vous pouvez accorder d'autres autorisations au compte de service pour effectuer d'autres tâches. Cette page explique comment accorder et révoquer des autorisations sur le compte de service Cloud Build.

Avant de commencer

Attribuer un rôle au compte de service Cloud Build à l'aide de la page Paramètres

Vous pouvez attribuer certains rôles IAM couramment utilisés au compte de service Cloud Build à l'aide de la page "Paramètres" de Cloud Build dans Cloud Console:

  1. Accédez à la page "Paramètres" de Cloud Build.

    Accéder à la page Paramètres de Cloud Build

    La page "Autorisations de compte de service" s'affiche alors :

    Capture d'écran de la page des autorisations de compte de service

  2. Définissez le rôle que vous souhaitez ajouter sur l'état Activé.

Attribuer un rôle au compte de service Cloud Build à l'aide de la page IAM

Si le rôle que vous souhaitez attribuer n'est pas répertorié sur la page "Paramètres" de Cloud Build dans Cloud Console, utilisez la page IAM pour attribuer le rôle:

  1. Ouvrez la page "IAM" :

    Ouvrir la page IAM

  2. Sélectionnez votre projet Cloud.

  3. Dans le tableau des autorisations, localisez la ligne dont l'adresse e-mail se termine par @cloudbuild.gserviceaccount.com. Il s'agit du compte de service Cloud Build.

  4. Cliquez sur l'icône en forme de crayon.

  5. Sélectionnez le rôle que vous souhaitez attribuer au compte de service Cloud Build.

  6. Cliquez sur Enregistrer.

Révoquer un rôle à partir du compte de service Cloud Build

  1. Ouvrez la page "IAM" :

    Ouvrir la page IAM

  2. Sélectionnez votre projet Cloud.

  3. Dans le tableau des autorisations, localisez la ligne dont l'adresse e-mail se termine par @cloudbuild.gserviceaccount.com. Il s'agit du compte de service Cloud Build.

  4. Cliquez sur l'icône en forme de crayon.

  5. Recherchez le rôle que vous souhaitez révoquer, puis cliquez sur la corbeille à côté du rôle.

Attribuer un rôle à l'agent de service Cloud Build

En plus du compte de service Cloud Build, Cloud Build dispose d'un autre compte de service géré par Google appelé Agent de service Cloud Build, qui permet à d'autres services Google Cloud d'accéder à vos ressources. Lorsque vous activez l'API Cloud Build, l'agent de service est automatiquement créé dans le projet Cloud. L'agent de service a le format suivant, où PROJECT_NUMBER est le numéro de votre projet.

     service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com

Vous pouvez afficher l'agent de service d'un projet en accédant à la page IAM de la page Google Cloud Console et en cochant la case Afficher les comptes de service gérés par Google.

Si vous avez accidentellement supprimé l'agent de service Cloud Build de votre projet, vous pouvez l'ajouter manuellement en procédant comme suit:

Console

  1. Ouvrez la page IAM dans Google Cloud Console:

    Ouvrir la page IAM

  2. Cliquez sur Ajouter.

  3. Ajoutez le compte principal suivant, où PROJECT_NUMBER correspond au numéro de votre projet :

    service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
    
  4. Pour votre rôle, sélectionnez Agents de service > Agent de service Cloud Build.

  5. Cliquez sur Enregistrer.

gcloud

Accordez le rôle IAM roles/cloudbuild.serviceAgent à l'agent de service Cloud Build:

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member="service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
        --role="roles/cloudbuild.serviceAgent"

Remplacez les valeurs d'espace réservé dans la commande par les éléments suivants :

  • PROJECT_ID : ID du projet
  • PROJECT_NUMBER: numéro du projet

Étapes suivantes