Cloud Build サービスアカウントへのアクセスの構成

Cloud Build は、特別なサービスアカウントを使用してユーザーの代わりにビルドを実行します。Google Cloud プロジェクトで Cloud Build API を有効にすると、Cloud Build サービスアカウントが自動的に作成され、プロジェクトの Cloud Build サービスアカウントのロールが付与されます。このロールは、サービスアカウントにいくつかのタスクを実行する権限を付与しますが、それ以外のタスクを実行する権限をさらに付与することもできます。このページでは、Cloud Build サービスアカウントに権限を付与する方法と取り消す方法について説明します。

始める前に

Cloud Build のロールと権限を理解しておきます。
Cloud Build サービスアカウントを読んでおきます。

設定ページを使用して Cloud Build サービスアカウントにロールを付与する

Cloud Console の Cloud Build [設定] ページを使用して、Cloud Build サービスアカウントによく使用される特定の IAM ロールを付与できます。

Cloud Build 設定ページを開きます。

Cloud Build 設定ページを開く

[サービスアカウント権限] ページが表示されます。
追加するロールのステータスを「有効」に設定します。

IAM ページを使用して Cloud Build サービスアカウントにロールを付与する

付与するロールが Cloud Console の Cloud Build 設定ページに一覧表示されていない場合は、IAM ページを使用してロールを付与します。

[IAM] ページを開きます。

[IAM] ページを開く
Cloud プロジェクトを選択します。
権限テーブルで、メールアドレスが @cloudbuild.gserviceaccount.com で終わる行を見つけます。これは Cloud Build サービスアカウントです。
鉛筆アイコンをクリックします。
Cloud Build サービスアカウントに付与するロールを選択します。
[保存] をクリックします。

Cloud Build サービスアカウントからロールを取り消す

[IAM] ページを開きます。

[IAM] ページを開く
Cloud プロジェクトを選択します。
権限テーブルで、メールアドレスが @cloudbuild.gserviceaccount.com で終わる行を見つけます。これは Cloud Build サービスアカウントです。
鉛筆アイコンをクリックします。
取り消すロールの横にある削除アイコンをクリックします。

Cloud Build サービスエージェントにロールを付与する

Cloud Build には Cloud Build サービスアカウントに加えて、Cloud Build サービスエージェントと呼ばれる Google が管理する別のサービスアカウントがあります。これにより、他の Google Cloud サービスがリソースにアクセスできるようになります。Cloud Build API を有効にすると、Cloud プロジェクトにサービスエージェントが自動的に作成されます。サービスエージェントの形式は次のとおりです。ここで PROJECT_NUMBER はプロジェクト番号です。

     service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com

プロジェクトのサービスエージェントを表示するには、Google Cloud Console の IAM ページに移動し、[Google マネージドサービスアカウントを表示する] チェックボックスをオンにします。

プロジェクトから Cloud Build サービスエージェントを誤って削除した場合は、次の手順で手動で追加できます。

Console

Google Cloud Console で [IAM] ページを開きます。

[IAM] ページを開く
[Add] をクリックします。
次のプリンシパルを追加します。ここで、PROJECT_NUMBER はプロジェクト番号です。
```
service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
```
ロールは [サービスエージェント] > [Cloud Build サービスエージェント] の順に選択します。
[保存] をクリックします。

gcloud

Cloud Build サービスエージェントに roles/cloudbuild.serviceAgent IAM ロールを付与します。

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member="service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
        --role="roles/cloudbuild.serviceAgent"

コマンドのプレースホルダ値を、次のように置き換えます。

PROJECT_ID: プロジェクト ID
PROJECT_NUMBER: プロジェクト番号

Cloud Build サービス アカウントへのアクセスの構成

始める前に

設定ページを使用して Cloud Build サービス アカウントにロールを付与する

IAM ページを使用して Cloud Build サービス アカウントにロールを付与する

Cloud Build サービス アカウントからロールを取り消す

Cloud Build サービス エージェントにロールを付与する