Se usó la API de Cloud Translation para traducir esta página.

Configura cuentas de servicio especificadas por el usuario

Para seguir el principio de privilegio mínimo en Cloud Build, puedes configurar Cloud Build para que use una cuenta de servicio con los privilegios suficientes para ejecutar una compilación. En esta página, se explica cómo configurar una cuenta de servicio.

Si no especificas una cuenta de servicio, Cloud Build puede seleccionar automáticamente una para ejecutar compilaciones en tu nombre. Esta cuenta de servicio puede tener permisos que son innecesariamente amplios para tu caso de uso, como acceso a tus Cloud Source Repositories y a cualquier bucket de Cloud Storage en tu proyecto.

Para mejorar la seguridad de tus proyectos y reducir el posible impacto de las configuraciones incorrectas o los usuarios maliciosos, te recomendamos que sigas el principio de privilegio mínimo. Si adoptas este principio, puedes asignar a cada cuenta de servicio los permisos y roles que se limitan a la tarea que realiza. Por ejemplo, puedes usar una cuenta de servicio para compilar y enviar imágenes a Artifact Registry, como se muestra en el Google Cloud Blog.

Antes de comenzar

Enable the Cloud Build and IAM APIs.
Enable the APIs
Si planeas usar esta cuenta para crear y administrar credenciales, por ejemplo, para crear credenciales de corta duración, habilita la API de IAM Service Account Credentials.

Enable the API
Crea una cuenta de servicio si aún no lo hiciste.

Otorga permisos de IAM

Para permitir que tu compilación acceda a los servicios a los que necesita conectarse, debes otorgar algunos roles y permisos:

Abre la página Configuración (Settings) de Cloud Build:

Abrir la página Configuración (Settings) de Cloud Build

Verás la pestaña Permisos de la cuenta de servicio:
En la lista desplegable, selecciona la cuenta de servicio cuyos roles deseas cambiar.
Establece el estado del rol que deseas agregar en Habilitar (Enable).
Si el rol que necesitas para tu canalización de compilación no aparece aquí, puedes otorgar roles adicionales en la página de configuración de IAM.

Puedes encontrar información adicional sobre los roles que se suelen requerir para una compilación en Configura el acceso a los recursos de Cloud Build y en la lista completa de roles y permisos de IAM de Cloud Build.

Configura registros de compilación

Cuando especificas tu propia cuenta de servicio para las compilaciones, debes almacenar tus registros de compilación en Cloud Logging o en un bucket de Cloud Storage creado por el usuario. No puedes almacenar tus registros en el bucket de registros predeterminado.

Para almacenar tus registros en un bucket de Cloud Storage, sigue las instrucciones en Almacena registros de compilación en el bucket creado por el usuario. Asegúrate de no haber establecido una política de retención en el bucket de registros, ya que esto puede evitar que Cloud Build escriba registros de compilación en el bucket.
Para almacenar registros de compilación en Cloud Logging, otorga el rol de escritor de registros (roles/logging.logWriter) a la cuenta de servicio.
Si deseas obtener más información sobre dónde almacenar los registros de compilación, consulta Elige dónde almacenar los registros de compilación.

Ejecuta una compilación con un archivo de configuración

Para ejecutar una compilación de forma manual con un archivo de configuración, haz lo siguiente:

En el directorio raíz del proyecto, crea un archivo de configuración de compilación de Cloud Build llamado cloudbuild.yaml o cloudbuild.json.
Agrega el campo serviceAccount y la configuración de registro preferida.
- Si almacenas los registros de compilación en Cloud Logging, agrega un campo logging y establece el valor del campo en CLOUD_LOGGING_ONLY.
- Si almacenas los registros de compilación en un bucket de Cloud Storage creado por el usuario, haz lo siguiente:
  - Agrega un campo logging y establece su valor en GCS_ONLY.
  - Agrega un campo logsBucket y establece su valor en la ubicación de tu bucket de Cloud Storage.
En el siguiente ejemplo, se configura Cloud Build para ejecutar compilaciones con una cuenta de servicio especificada por el usuario y se configuran los registros de compilación para que se almacenen en un bucket de Cloud Storage creado por el usuario:
YAML
```
steps:
- name: 'bash'
  args: ['echo', 'Hello world!']
logsBucket: 'LOGS_BUCKET_LOCATION'
serviceAccount: 'projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT'
options:
  logging: GCS_ONLY
```
JSON
```
{
  "steps": [
  {
    "name": "bash",
    "args": [
      "echo",
      "Hello world!"
    ]
  }
  ],
  "logsBucket": "LOGS_BUCKET_LOCATION",
  "serviceAccount": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT",
  "options": {
    "logging": "GCS_ONLY"
  }
}
```
Reemplaza los valores de marcador de posición en tu archivo de configuración de compilación por lo siguiente:
- LOGS_BUCKET_LOCATION es el bucket de Cloud Storage para almacenar registros de compilación. Por ejemplo, gs://mylogsbucket
- PROJECT_ID es el ID del proyecto Google Cloud en el que ejecutarás la compilación.
- SERVICE_ACCOUNT es la dirección de correo electrónico o el ID único de la cuenta de servicio que deseas especificar para las compilaciones. Por ejemplo, una dirección de correo electrónico de cuenta de servicio se ve de la siguiente manera: service-account-name@project-id.iam.gserviceaccount.com.
Usa este comando para comenzar a compilar con el archivo de configuración de compilación:
```
gcloud builds submit --config CONFIG_FILE_PATH SOURCE_DIRECTORY
```
Reemplaza los valores de marcador de posición en los comandos anteriores por la siguiente información:
- CONFIG_FILE_PATH es la ruta de acceso al archivo de configuración de compilación.
- SOURCE_DIRECTORY es la ruta de acceso o la URL al código fuente.
Si no se especifica CONFIG_FILE_PATH ni SOURCE_DIRECTORY en el comando gcloud builds submit, Cloud Build da por hecho que el archivo de configuración de compilación y el código fuente están en el directorio de trabajo actual.

Ejecuta compilaciones con activadores

Para ejecutar una compilación con activadores de Cloud Build usando tu propia cuenta de servicio, configura tu opción de registro preferida y selecciona tu cuenta de servicio preferida cuando crees el activador.

En el archivo de configuración de compilación:
- Si almacenas los registros de compilación en Cloud Logging, agrega un campo logging y establece el valor del campo en CLOUD_LOGGING_ONLY.
- Si almacenas los registros de compilación en un bucket de Cloud Storage creado por el usuario, haz lo siguiente:
  - Agrega un campo logging y establece su valor en GCS_ONLY.
  - Agrega un campo logsBucket y establece su valor en la ubicación de tu bucket de Cloud Storage.
En el siguiente ejemplo, se configuran los registros de compilación para que se almacenen en un bucket de Cloud Storage creado por el usuario:
YAML
```
steps:
- name: 'bash'
  args: ['echo', 'Hello world!']
logsBucket: 'LOGS_BUCKET_LOCATION'
options:
  logging: GCS_ONLY
```
JSON
```
{
  "steps": [
  {
    "name": "bash",
    "args": [
      "echo",
      "Hello world!"
    ]
  }
  ],
  "logsBucket": "LOGS_BUCKET_LOCATION",
  "options": {
    "logging": "GCS_ONLY"
  }
}
```
Reemplaza LOGS_BUCKET_LOCATION por el bucket de Cloud Storage en el que se almacenarán los registros de compilación. Por ejemplo, gs://mylogsbucket
Especifica una cuenta de servicio para usar con el activador de compilación:
Console
Para ejecutar compilaciones con la página Trigger en la consola de Google Cloud , la cuenta de servicio especificada por el usuario debe estar en el mismo proyecto que el activador de compilación. Para usar activadores con cuentas de servicio entre proyectos, crea el activador de compilación con la herramienta gcloud.
1. Crea o edita el activador de compilación.
2. En el campo Cuenta de servicio, especifica tu cuenta de servicio. Si no especificas una cuenta de servicio, Cloud Build usa la cuenta de servicio predeterminada.
3. Haz clic en Crear para guardar el activador de compilación.
gcloud
Cuando crees un activador de compilación, especifica tu cuenta de servicio con la marca --service-account. En el siguiente ejemplo, el comando gcloud crea un activador de compilación que extrae código de un repositorio de Git:
```
gcloud builds triggers create github \
   --name=TRIGGER_NAME \
   --repo-name=REPO_NAME \
   --repo-owner=REPO_OWNER \
   --branch-pattern=BRANCH_PATTERN
   --build-config=BUILD_CONFIG_FILE
   --service-account=SERVICE_ACCOUNT
   --project=BUILD_PROJECT
```
Reemplaza los valores de marcador de posición en tu archivo de configuración de compilación por lo siguiente:
- TRIGGER_NAME es el nombre de tu activador de compilación.
- REPO_NAME es el nombre del repositorio.
- REPO_OWNER es el nombre de usuario del propietario del repositorio.
- BRANCH_PATTERN es el nombre de la rama en tu repositorio para invocar la compilación.
- TAG_PATTERN es el nombre de la etiqueta en tu repositorio para invocar la compilación.
- BUILD_CONFIG_FILE es la ruta de acceso al archivo de configuración de compilación.
- SERVICE_ACCOUNT es tu cuenta de servicio en el formato /projects/PROJECT_ID/serviceAccounts/ACCOUNT_ID_OR_EMAIL.
- BUILD_PROJECT es el proyecto en el que iniciarás las compilaciones.

Configuración entre proyectos

Puedes usar una cuenta de servicio especificada por el usuario para ejecutar compilaciones en un proyecto diferente del proyecto en el que creaste la cuenta de servicio solo si no se aplica la restricción de la política de la organización iam.disableCrossProjectServiceAccountUsage. Esta restricción se aplica de forma predeterminada.

El siguiente comando inhabilita la aplicación de esa restricción y otorga el acceso necesario. Tu organización debe conocer las compensaciones de seguridad involucradas antes de establecer la restricción en su política:
```
gcloud resource-manager org-policies disable-enforce \
   iam.disableCrossProjectServiceAccountUsage \
   --project=SERVICE_ACCOUNT_PROJECT_ID
```
En este comando, SERVICE_ACCOUNT_PROJECT_ID es el proyecto que contiene tu cuenta de servicio especificada por el usuario.
En el proyecto que tiene tu cuenta de servicio especificada por el usuario, otorga el rol roles/iam.serviceAccountTokenCreator al agente de servicio de Cloud Build del proyecto en el que ejecutas compilaciones:
```
gcloud projects add-iam-policy-binding SERVICE_ACCOUNT_PROJECT_ID \
    --member="serviceAccount:BUILD_SERVICE_AGENT" \
    --role="roles/iam.serviceAccountTokenCreator"
```
Reemplaza los valores de marcador de posición en el comando por los siguientes:
- SERVICE_ACCOUNT_PROJECT_ID: Es el ID del proyecto que contiene la cuenta de servicio especificada por el usuario.
- BUILD_SERVICE_AGENT: Es el ID de correo electrónico del agente de servicio con el formato service-BUILD_PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com, en el que BUILD_PROJECT_NUMBER es el número del proyecto en el que ejecutas compilaciones. Puedes obtener el número de proyecto en la página de configuración del proyecto.

Limitaciones:

Tu proyecto Google Cloud debe estar en una organización Google Cloud .
Debes iniciar las compilaciones en la línea de comandos con gcloud builds submit o gcloud builds triggers create. Para usar la página Triggers en la consola de Google Cloud , la cuenta de servicio especificada por el usuario y el activador de compilación deben estar en el mismo proyecto.

¿Qué sigue?

Obtén más información sobre los roles y permisos de IAM de Cloud Build.
Obtén información sobre cómo los cambios en la cuenta de servicio afectan la forma en que ejecutas tus compilaciones.

Configura cuentas de servicio especificadas por el usuario Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.