ユーザー指定のサービス アカウントの構成

このページでは、ビルド用にユーザー指定のサービス アカウントを構成する方法について説明します。

デフォルトでは、Cloud Build は特別なサービス アカウントを使用してユーザーの代わりにビルドを実行します。このサービス アカウントは Cloud Build サービス アカウントと呼ばれ、Google Cloud プロジェクトで Cloud Build API を有効にすると自動的に作成されます。このサービス アカウントには、ビルドの更新やログの書き込みなど、さまざまな権限がデフォルトで付与されています。

デフォルトの Cloud Build サービス アカウントを使用する代わりに、ユーザーの代理でビルドを実行する独自のサービス アカウントを指定できます。プロジェクトごとに、任意の数のサービス アカウントを指定できます。複数のサービス アカウントを管理すれば、これらのサービス アカウントに実行するタスクに応じて異なる権限を付与できます。たとえば、1 つのサービス アカウントを使用してイメージをビルドして Container Registry に push し、別のサービス アカウントを使用してイメージをビルドして Artifact Registry に push できます。

始める前に

• Cloud Build and IAM API を有効にします。

  API を有効にする

• このガイドのコマンドラインの例を使用するには、Cloud SDK をインストールして構成します。

• 使用するサービス アカウントを作成したことを確認します。 ビルドを実行する同じクラウド プロジェクトでアカウントを作成する必要があります。

ビルドログの設定

ビルド用に独自のサービス アカウントを指定するには、Cloud Logging または独自の Cloud Storage バケットのいずれかでビルドログを保存する必要があります。

• ビルドログを Logging に保存するには、ビルドログの保存場所の選択の手順に従います。Logging にビルドログを保存している場合、ログは Google Cloud Console の Logging ページにのみ表示されます。Cloud Console の Cloud Build ページには表示されません。

• Cloud Storage バケットにログを保存するには、ユーザーが作成したバケットにビルドログを保存するの手順に従います。ログバケットに保持ポリシーを設定していないことを確認します。設定されている場合、Cloud Build がビルドログをバケットに書き込めなくなる可能性があります。

必要な IAM 権限

• サービス アカウントを使用してビルドを開始するには、ビルドをリクエストするユーザーに iam.serviceAccounts.actAs 権限が必要です。これは、サービス アカウント ユーザー（roles/iam.serviceAccountUser）の IAM ロールに含まれています。

• Logging にビルドログを保存するには、ログ書き込み（roles/logging.logWriter）ロールをサービス アカウントに付与します。

• ビルドされたイメージやアーティファクトを Artifact Registry、Container Registry、Cloud Storage に保存する場合は、必要なアクセス権を付与します。

  • イメージやアーティファクトを Artifact Registry に保存するには、Artifact Registry 書き込み（roles/artifactregistry.writer）のロールをサービス アカウントに付与します。
  • Container Registry にイメージを保存するには、ストレージ管理者（roles/storage.admin）のロールをサービス アカウントに付与します。
  • アーティファクトを Cloud Storage に保存するには、サービス アカウントにストレージ オブジェクト管理者（roles/storage.objectAdmin）ロールを付与します。

• サービス アカウントがビルドを実行するために必要な追加の IAM 権限を付与します。たとえば、ビルドを App Engine にデプロイする必要がある場合は、サービス アカウントに App Engine 管理者のロールが必要です。ビルドで Cloud Storage バケットからソースを指定する場合は、サービス アカウントにストレージ管理者のロールが必要です。

サービス アカウントに IAM のロールを付与する方法については、リソースへのアクセスの構成をご覧ください。

コマンドラインからのビルドの実行

1. プロジェクトのルート ディレクトリに、cloudbuild.yaml または cloudbuild.json という名前の Cloud Build ビルド構成ファイルを作成します。

2. ビルド構成ファイルで、次のことを行います。

   • サービス アカウントのメールアドレスを指定する serviceAccount フィールドを追加します。

   • ビルドログを Cloud Storage バケットに保存する場合は、Cloud Storage バケットを指す logsBucket フィールドを追加します。

   YAML

   steps:
   - name: 'bash'
     args: ['echo', 'Hello world!']
   logsBucket: 'LOGS_BUCKET_LOCATION'
   serviceAccount: 'projects/PROJECT_NAME/serviceAccounts/SERVICE_ACCOUNT'
   

   JSON

   {
     "steps": [
     {
       "name": "bash",
       "args": [
         "echo",
         "Hello world!"
       ]
     }
     ],
     "logsBucket": "LOGS_BUCKET_LOCATION",
     "serviceAccount": "projects/PROJECT_NAME/serviceAccounts/SERVICE_ACCOUNT"
   }
   

   ビルド構成ファイルのプレースホルダ値を次のように置き換えます。

   • LOGS_BUCKET_LOCATION: ビルドログを保存する Cloud Storage バケット。例: gs://mylogsbucket
   • PROJECT_NAME: ビルドを実行するクラウド プロジェクトの名前。
   • SERVICE_ACCOUNT は、ビルドに指定するサービス アカウントのメールアドレスまたは一意の ID です。

3. ビルド構成ファイルを使用してビルドを開始します。

    gcloud builds submit --config CONFIG_FILE_PATH SOURCE_DIRECTORY
   

上記のコマンドのプレースホルダ値を次のように置き換えます。

• CONFIG_FILE_PATH は、ビルド構成ファイルへのパスです。
• SOURCE_DIRECTORY は、ソースコードのパスまたは URL です。

gcloud builds submit コマンドに CONFIG_FILE_PATH と SOURCE_DIRECTORY を指定しない場合、Cloud Build は、ビルド構成ファイルとソースコードが現在の作業ディレクトリにあると想定します。

ビルドトリガーを使用したビルドの実行

1. ソース リポジトリで、cloudbuild.yaml または cloudbuild.json という名前の Cloud Build ビルド構成ファイルを作成します。

2. Logging またはユーザーが作成した Cloud Storage バケットにログを保存するようにビルドを構成します。ユーザー指定のサービス アカウントを使用する場合、デフォルトのバケットは使用できません。以下の例では、logsBucket フィールドは Cloud Storage バケットを指します。

   YAML

   steps:
   - name: 'bash'
     args: ['echo', 'Hello world!']
   logsBucket: 'LOGS_BUCKET_LOCATION'
   

   JSON

   {
     "steps": [
     {
       "name": "bash",
       "args": [
         "echo",
         "Hello world!"
       ]
     }
     ],
     "logsBucket": "LOGS_BUCKET_LOCATION",
   

   ビルド構成ファイルのプレースホルダ値を次のように置き換えます。

   • LOGS_BUCKET_LOCATION: ビルドログを保存する Cloud Storage バケット。例: gs://mylogsbucket

3. ビルドトリガーで使用するサービス アカウントを指定します。

   Console

   1. ビルドトリガーを作成または編集します。
   2. [サービス アカウント] フィールドに、サービス アカウントを指定します。サービス アカウントを指定しない場合は、デフォルトの Cloud Build サービス アカウントが使用されます。
   3. [作成] をクリックして、ビルドトリガーを保存します。

   gcloud

   ビルドトリガーを作成する場合は、--service-account フラグを使用してサービス アカウントを指定します。サービス アカウントを指定しない場合は、デフォルトの Cloud Build サービス アカウントが使用されます。次の例の gcloud コマンドは、ソースコードが GitHub にある場合にビルドトリガーを作成します。

    gcloud beta builds triggers create github \
       --name=TRIGGER_NAME \
       --repo-name=REPO_NAME \
       --repo-owner=REPO_OWNER \
       --branch-pattern=BRANCH_PATTERN
       --build-config=BUILD_CONFIG_FILE
       --service-account=SERVICE_ACCOUNT
   

   ビルド構成ファイルのプレースホルダ値を次のように置き換えます。

   • TRIGGER_NAME はビルドトリガーの名前です。
   • REPO_NAME はリポジトリの名前です。
   • REPO_OWNER は、リポジトリ オーナーのユーザー名です。
   • BRANCH_PATTERN は、ビルドを呼び出すリポジトリ内のブランチ名です。
   • TAG_PATTERN は、ビルドを呼び出すリポジトリ内のタグ名です。
   • BUILD_CONFIG_FILE はビルド構成ファイルのパスです。
   • SERVICE_ACCOUNT は、サービス アカウントに関連付けられたメールです。

ビルドトリガーは、トリガーに関連付けられたイベントに応じてビルドを呼び出します。たとえば、ソースコードがリポジトリに push されたときにトリガーが実行されます。トリガーの詳細については、ビルドトリガーの作成と管理をご覧ください。

次のステップ

• デフォルトの Cloud Build サービス アカウントについて詳しくは、Cloud Build サービス アカウントをご覧ください。
• デフォルトの Cloud Build サービス アカウントに権限を付与する方法については、Cloud Build サービス アカウントのアクセス権を構成するをご覧ください。