Como configurar contas de serviço especificadas pelo usuário

Nesta página, explicamos como configurar contas de serviço específicas de usuário para builds.

Por padrão, o Cloud Build usa uma conta de serviço especial para executar builds em seu nome. Essa conta de serviço é chamada de conta de serviço do Cloud Build e é criada automaticamente quando você ativa a API Cloud Build em um projeto do Google Cloud. Por padrão, essa conta de serviço tem várias permissões, como a capacidade de atualizar versões ou gravar registros.

Em vez de usar a conta de serviço padrão do Cloud Build, é possível especificar sua própria conta de serviço para executar builds em seu nome. É possível especificar qualquer número de contas de serviço por projeto. Manter várias contas de serviço permite que você conceda permissões diferentes a essas contas de serviço, dependendo das tarefas que elas executam. Por exemplo, é possível usar uma conta de serviço para criar e enviar imagens para o Container Registry e uma conta de serviço diferente para criar e enviar imagens para o Artifact Registry.

Antes de começar

  • Ative as APIs Cloud Build and IAM.

    Ative as APIs

  • Para usar os exemplos de linha de comando deste guia, instale e configure o SDK do Cloud.

  • Certifique-se de ter criado a conta de serviço a ser usada. Você precisa criar a conta no mesmo projeto do Cloud em que está executando as versões.

Como configurar registros do build

Para especificar sua própria conta de serviço para builds, é preciso armazenar seus registros de build no Cloud Logging ou no seu próprio bucket do Cloud Storage:

Permissões do IAM obrigatórias

Para instruções sobre como conceder papéis do IAM a uma conta de serviço, consulte Como configurar o acesso aos recursos.

Como executar builds na linha de comando

  1. No diretório raiz do projeto, crie um arquivo de configuração do build do Cloud Build chamado cloudbuild.yaml ou cloudbuild.json.

  2. No arquivo de configuração de build:

    • Adicione um campo serviceAccount especificando o endereço de e-mail da sua conta de serviço.
    • Se você estiver armazenando os registros do build no bucket do Cloud Storage, adicione um campo logsBucket que aponte para o bucket do Cloud Storage.

    YAML

    steps:
    - name: 'bash'
      args: ['echo', 'Hello world!']
    logsBucket: 'LOGS_BUCKET_LOCATION'
    serviceAccount: 'projects/PROJECT_NAME/serviceAccounts/SERVICE_ACCOUNT'
    

    JSON

    {
      "steps": [
      {
        "name": "bash",
        "args": [
          "echo",
          "Hello world!"
        ]
      }
      ],
      "logsBucket": "LOGS_BUCKET_LOCATION",
      "serviceAccount": "projects/PROJECT_NAME/serviceAccounts/SERVICE_ACCOUNT"
    }
    

    Substitua os valores de marcador no arquivo de configuração do build pelo seguinte:

    • LOGS_BUCKET_LOCATION é o bucket do Cloud Storage para armazenar registros do build. Por exemplo, gs://mylogsbucket.
    • PROJECT_NAME é o nome do projeto do Cloud em que você está executando o build.
    • SERVICE_ACCOUNT é o endereço de e-mail ou o ID exclusivo da conta de serviço que você quer especificar para builds. Por exemplo, my-sa-name@my-project-name.iam.gserviceaccount.com.
  3. Inicie a compilação usando o arquivo de configuração da compilação:

     gcloud builds submit --config CONFIG_FILE_PATH SOURCE_DIRECTORY
    

Substitua os valores dos marcadores nos comandos acima pelo seguinte:

  • CONFIG_FILE_PATH é o caminho para o arquivo de configuração do build;
  • SOURCE_DIRECTORY é o caminho ou o URL do código-fonte.

Se você não especificar CONFIG_FILE_PATH e SOURCE_DIRECTORY no comando gcloud builds submit, o Cloud Build presumirá que o arquivo de configuração do build e o código-fonte estão no diretório de trabalho atual.

Como executar builds usando gatilhos

  1. No repositório de origem, crie um arquivo de configuração do build do Cloud Build chamado cloudbuild.yaml ou cloudbuild.json.

  2. Configure seu build para armazenar registros no Logging ou em um bucket do Cloud Storage criado pelo usuário. O bucket padrão não pode ser usado se você quiser usar uma conta de serviço especificada pelo usuário. No exemplo abaixo, o campo logsBucket aponta para um bucket do Cloud Storage:

    YAML

    steps:
    - name: 'bash'
      args: ['echo', 'Hello world!']
    logsBucket: 'LOGS_BUCKET_LOCATION'
    

    JSON

    {
      "steps": [
      {
        "name": "bash",
        "args": [
          "echo",
          "Hello world!"
        ]
      }
      ],
      "logsBucket": "LOGS_BUCKET_LOCATION",
    

    Substitua o valor do marcador no arquivo de configuração do build pelo seguinte:

    • LOGS_BUCKET_LOCATION é o bucket do Cloud Storage para armazenar registros do build. Por exemplo, gs://mylogsbucket.
  3. Especifique uma conta de serviço para usar com o gatilho de compilação:

    Console

    1. Crie ou edite o gatilho de compilação.
    2. No campo Conta de serviço especifique sua conta de serviço. Se você não especificar uma conta de serviço, a conta de serviço do Cloud Build padrão será usada.
    3. Clique em Criar para salvar o gatilho de compilação.

    gcloud

    Ao criar um gatilho de compilação, especifique sua conta de serviço usando a sinalização --service-account. Se você não especificar uma conta de serviço, a conta de serviço do Cloud Build padrão será usada. No exemplo a seguir, o comando gcloud cria um gatilho de compilação quando o código-fonte está no GitHub:

     gcloud beta builds triggers create github \
        --name=TRIGGER_NAME \
        --repo-name=REPO_NAME \
        --repo-owner=REPO_OWNER \
        --branch-pattern=BRANCH_PATTERN
        --build-config=BUILD_CONFIG_FILE
        --service-account=SERVICE_ACCOUNT
    

    Substitua os valores de marcador no arquivo de configuração do build pelo seguinte:

    • TRIGGER_NAME é o nome do gatilho de compilação.
    • REPO_NAME é o nome do repositório;
    • REPO_OWNER é o nome de usuário do proprietário do repositório.
    • BRANCH_PATTERN é o nome da ramificação no seu repositório para invocar o build.
    • TAG_PATTERN é o nome da tag no repositório para invocar o build.
    • BUILD_CONFIG_FILE é o caminho para seu arquivo de configuração da compilação.
    • SERVICE_ACCOUNT é o e-mail associado à conta de serviço.

O gatilho de compilação invoca um build em resposta ao evento associado ao gatilho. Por exemplo, seu gatilho é executado quando o código-fonte é enviado para o repositório. Para saber mais sobre gatilhos, consulte Como criar e gerenciar gatilhos de compilação.

A seguir