Cette page a été traduite par l'API Cloud Translation.

Configurer des comptes de service spécifiés par l'utilisateur

Cette page explique comment configurer des comptes de service spécifiés par l'utilisateur pour les compilations.

Par défaut, Cloud Build utilise un compte de service spécial pour exécuter des compilations en votre nom. Ce compte de service est appelé compte de service Cloud Build. Il est créé automatiquement lorsque vous activez l'API Cloud Build dans un projet Google Cloud. Ce compte de service dispose d'un certain nombre d'autorisations par défaut, telles que la possibilité de mettre à jour des compilations ou d'écrire des journaux.

Au lieu d'utiliser le compte de service Cloud Build par défaut, vous pouvez spécifier votre propre compte de service pour exécuter des compilations en votre nom. Vous pouvez spécifier un nombre illimité de comptes de service par projet. La maintenance de plusieurs comptes de service vous permet d'accorder différentes autorisations à ces comptes de service en fonction des tâches qu'ils effectuent. Par exemple, vous pouvez utiliser un compte de service pour créer et transférer des images dans Container Registry, et un autre compte de service pour la création et le transfert d'images dans Artifact Registry.

Limites

Les comptes de service spécifiés par l'utilisateur ne fonctionnent qu'avec les compilations manuelles et ne fonctionnent pas avec les déclencheurs de compilation.
Vous devez créer le compte de service spécifié par l'utilisateur dans le projet Cloud dans lequel vous exécutez les compilations.

Avant de commencer

Activer les API Cloud Build and IAM.
Activer les API
Pour utiliser les exemples de ligne de commande de ce guide, installez et configurez le SDK Cloud.
Remarque : Si vous avez déjà installé le SDK Cloud, assurez-vous de disposer de la dernière version disponible en exécutant gcloud components update.
Assurez-vous d'avoir créé le compte de service que vous souhaitez utiliser.

Configurer des journaux de compilation

Pour spécifier votre propre compte de service pour les compilations, vous devez stocker vos journaux de compilation dans Cloud Logging ou dans votre propre bucket Cloud Storage:

Pour stocker les journaux de compilation dans Logging, suivez les instructions de la section Choisir l'emplacement de stockage des journaux de compilation. Si vous stockez des journaux de compilation dans Logging, les journaux apparaissent uniquement sur la page Logging de Google Cloud Console. Elles n'apparaissent pas sur la page Cloud Build de Cloud Console.
Pour stocker vos journaux dans un bucket Cloud Storage, suivez les instructions de la section Stocker les journaux de compilation dans le bucket créé par l'utilisateur. Assurez-vous que vous n'avez pas défini de règles de conservation sur le bucket de journaux, car cela pourrait empêcher Cloud Build d'écrire des journaux de compilation dans le bucket.

Autorisations IAM requises

Pour commencer à compiler à l'aide du compte de service, l'utilisateur qui demande la compilation nécessite l'autorisation iam.serviceAccounts.actAs permission, qui est incluse dans l'IAM Utilisateur du compte de service (roles/iam.serviceAccountUser).
Si vous stockez des journaux de compilation dans Logging, accordez le rôle Administrateur Logging (roles/logging.admin) au compte de service.
Si vous stockez des images ou des artefacts créés dans Artifact Registry, Container Registry ou Cloud Storage, accordez l'accès nécessaire:
- Pour stocker des images ou des artefacts dans Artifact Registry, accordez le rôle Rédacteur du registre des artefacts (roles/artifactregistry.writer) au compte de service.
- Pour stocker des images dans Container Registry, accordez le rôle Administrateur de stockage (roles/storage.admin) au compte de service.
- Pour stocker des artefacts dans Cloud Storage, attribuez le rôle roles/storage.objectAdmin (Storage Object Admin) au compte de service.
Accordez toutes les autres autorisations IAM dont le compte de service a besoin pour exécuter la compilation. Par exemple, si votre compilation doit déployer sur App Engine, le compte de service nécessite le rôle "Administrateur App Engine", ou, si votre compilation spécifie la source à partir d'un bucket Cloud Storage, le compte de service nécessite Rôle d'administrateur de l'espace de stockage

Pour savoir comment accorder des rôles IAM à un compte de service, consultez la page Configurer l'accès pour les membres d'un projet.

Exécuter des compilations

Dans le répertoire racine de votre projet, créez un fichier de configuration de compilation Cloud Build nommé cloudbuild.yaml ou cloudbuild.json.
Dans le fichier de configuration de compilation :
- Ajoutez un champ serviceAccount spécifiant l'adresse e-mail de votre compte de service.
- Si vous stockez les journaux de compilation dans votre bucket Cloud Storage, ajoutez un champ logsBucket pointant vers votre bucket Cloud Storage.
YAML
```
steps:
- name: 'bash'
  args: ['echo', 'Hello world!']
logsBucket: 'LOGS_BUCKET_LOCATION'
serviceAccount: 'projects/PROJECT_NAME/serviceAccounts/SERVICE_ACCOUNT'
```
JSON
```
{
  "steps": [
  {
    "name": "bash",
    "args": [
      "echo",
      "Hello world!"
    ]
  }
  ],
  "logsBucket": "LOGS_BUCKET_LOCATION",
  "serviceAccount": "projects/PROJECT_NAME/serviceAccounts/SERVICE_ACCOUNT"
}
```
Remplacez les valeurs d'espace réservé dans votre fichier de configuration de compilation comme suit:
- LOGS_BUCKET_LOCATION: bucket Cloud Storage pour stocker les journaux de compilation. Exemple :gs://mylogsbucket
- PROJECT_NAME: nom du projet Cloud dans lequel vous exécutez la compilation.
- SERVICE_ACCOUNT: adresse e-mail ou identifiant unique du compte de service que vous souhaitez spécifier pour les compilations.
Lancez la compilation à l'aide du fichier de configuration de compilation :
```
 gcloud builds submit --config CONFIG_FILE_PATH SOURCE_DIRECTORY
```

Remplacez les valeurs d'espace réservé dans les commandes ci-dessus par les éléments suivants :

CONFIG_FILE_PATH: chemin d'accès au fichier de configuration de compilation.
SOURCE_DIRECTORY: chemin d'accès ou URL au code source.

Si vous ne spécifiez pas les éléments CONFIG_FILE_PATH et SOURCE_DIRECTORY dans la commande gcloud builds submit, Cloud Build part du principe que le fichier de configuration de compilation et le code source se trouvent dans le répertoire de travail actuel.

Étape suivante

Pour en savoir plus sur les comptes de service Cloud Build par défaut, consultez la section Compte de service Cloud Build.
Pour savoir comment accorder des autorisations au compte de service Cloud Build par défaut, consultez la page Configurer l'accès au compte de service Cloud Build.