本页面介绍如何为构建配置用户指定的服务帐号。
默认情况下,Cloud Build 使用特殊服务帐号代表您执行构建。此服务帐号称为 Cloud Build 服务帐号,当您在 Google Cloud 项目中启用 Cloud Build API 时,系统会自动创建该服务帐号。此服务帐号默认拥有多个权限,例如更新构建或写入日志。
您可以指定自己的服务帐号,以代表您执行构建,而不是使用默认的 Cloud Build 服务帐号。您可以为每个项目指定任意数量的服务帐号。通过维护多个服务帐号,您可以根据服务帐号执行的任务向它们授予不同的权限。例如,您可以使用一个服务帐号来构建映像并推送到 Container Registry,然后使用另一个服务帐号来构建映像并推送到 Artifact Registry。
准备工作
- 启用 Cloud Build and IAM API。
如需使用本指南中的命令行示例,请安装并配置 Cloud SDK。
确保您已经创建了要使用的服务帐号。 您必须在运行构建所在的 Cloud 项目中创建该帐号。
设置构建日志
要为构建指定您自己的服务帐号,您必须将构建日志为存储在 Cloud Logging 或您自己的 Cloud Storage 存储分区中:
如需在 Logging 中存储构建日志,请按照选择构建日志存储位置中的说明操作。如果您将 Logging 日志存储在 Logging 中,则日志只会显示在 Google Cloud Console 的 Logging 页面中。它们不会显示在 Cloud Console 的 Cloud Build 页面中。
如需将日志存储在 Cloud Storage 存储分区中,请按照将构建日志存储在用户创建的存储分区中中的说明进行操作。切勿在日志存储分区上设置保留政策,因为这可能会阻止 Cloud Build 将构建日志写入存储分区。
必需的 IAM 权限
要使用服务帐号启动构建,请求构建的用户需要拥有
iam.serviceAccounts.actAs权限,该权限包含在Service Account User (roles/iam.serviceAccountUser) IAM 角色中。如需将构建日志存储在 Logging 中,请向服务帐号授予 Logs Writer (
roles/logging.logWriter) 角色。如果您将任何构建映像或工件存储在 Artifact Registry、Container Registry 或 Cloud Storage 中,请授予必要的访问权限:
- 要将映像或工件存储在 Artifact Registry 中,请向服务帐号授予 Artifact Registry Writer (
roles/artifactregistry.writer) 角色。 - 如需将映像存储在 Container Registry 中,请向服务帐号授予 Storage Admin (
roles/storage.admin) 角色。 - 如需将工件存储在 Cloud Storage 中,请向服务帐号授予 Storage Object Admin (
roles/storage.objectAdmin) 角色。
- 要将映像或工件存储在 Artifact Registry 中,请向服务帐号授予 Artifact Registry Writer (
授予服务帐号运行构建所需的任何其他 IAM 权限。例如,如果您的构建需要部署到 App Engine,则服务帐号需要 App Engine Admin 角色;如果您的构建指定来自 Cloud Storage 存储分区的来源,则服务帐号需要 Storage Admin 角色。
有关向服务帐号授予 IAM 角色的说明,请参阅配置对资源的访问权限。
从命令行运行构建
在项目根目录中,创建名为
cloudbuild.yaml或cloudbuild.json的 Cloud Build 构建配置文件。在构建配置文件中:
- 添加
serviceAccount字段,并指定您的服务帐号的电子邮件地址。 如果您将构建日志存储在 Cloud Storage 存储分区中,请添加
logsBucket字段,并指向您的 Cloud Storage 存储分区。
YAML
steps: - name: 'bash' args: ['echo', 'Hello world!'] logsBucket: 'LOGS_BUCKET_LOCATION' serviceAccount: 'projects/PROJECT_NAME/serviceAccounts/SERVICE_ACCOUNT'JSON
{ "steps": [ { "name": "bash", "args": [ "echo", "Hello world!" ] } ], "logsBucket": "LOGS_BUCKET_LOCATION", "serviceAccount": "projects/PROJECT_NAME/serviceAccounts/SERVICE_ACCOUNT" }将构建配置文件中的占位值替换为以下内容:
LOGS_BUCKET_LOCATION:用于存储构建日志的 Cloud Storage 存储桶。例如gs://mylogsbucket。PROJECT_NAME:要在其中运行构建的 Cloud 项目的名称。SERVICE_ACCOUNT是您要为构建指定的服务帐号的电子邮件地址或唯一 ID。
- 添加
使用构建配置文件启动构建:
gcloud builds submit --config CONFIG_FILE_PATH SOURCE_DIRECTORY
将上述命令中的占位值替换为以下内容:
CONFIG_FILE_PATH是构建配置文件的路径。SOURCE_DIRECTORY是源代码的路径或网址。
如果您未在 gcloud builds submit 命令中指定 CONFIG_FILE_PATH 和 SOURCE_DIRECTORY,Cloud Build 会假定构建配置文件和源代码位于当前工作目录中。
使用构建触发器运行构建
在源代码库中,创建一个名为
cloudbuild.yaml或cloudbuild.json的 Cloud Build 构建配置文件。将构建配置为在 Logging 或用户创建的 Cloud Storage 存储桶中存储日志。如果您要使用用户指定的服务帐号,则不能使用默认存储桶。在下面的示例中,
logsBucket字段指向 Cloud Storage 存储桶:YAML
steps: - name: 'bash' args: ['echo', 'Hello world!'] logsBucket: 'LOGS_BUCKET_LOCATION'JSON
{ "steps": [ { "name": "bash", "args": [ "echo", "Hello world!" ] } ], "logsBucket": "LOGS_BUCKET_LOCATION",将构建配置文件中的占位值替换为以下内容:
LOGS_BUCKET_LOCATION:用于存储构建日志的 Cloud Storage 存储桶。例如gs://mylogsbucket。
指定要用于构建触发器的服务帐号:
控制台
- 创建或修改构建触发器。
- 在服务帐号字段中,指定您的服务帐号。如果您未指定服务帐号,则使用默认的 Cloud Build 服务帐号。
- 点击创建以保存您的构建触发器。
gcloud
创建构建触发器时,请使用
--service-account标志指定服务帐号。如果您未指定服务帐号,则使用默认的 Cloud Build 服务帐号。在以下示例中,gcloud命令会在源代码位于 GitHub 中时创建一个构建触发器:gcloud beta builds triggers create github \ --name=TRIGGER_NAME \ --repo-name=REPO_NAME \ --repo-owner=REPO_OWNER \ --branch-pattern=BRANCH_PATTERN --build-config=BUILD_CONFIG_FILE --service-account=SERVICE_ACCOUNT将构建配置文件中的占位值替换为以下内容:
- TRIGGER_NAME 是构建触发器的名称。
- REPO_NAME 是代码库的名称。
- REPO_OWNER 是代码库所有者的用户名。
- BRANCH_PATTERN 是代码库中要在其上调用构建的分支名称。
- TAG_PATTERN 是代码库中要在其上调用构建的标记名称。
- BUILD_CONFIG_FILE 是构建配置文件的路径。
- SERVICE_ACCOUNT 是与您的服务帐号相关联的电子邮件地址。
构建触发器会调用构建以响应与触发器关联的事件。例如,触发器会在将源代码推送到代码库时执行。如需详细了解触发器,请参阅创建和管理构建触发器。
后续步骤
- 如需详细了解默认 Cloud Build 服务帐号,请参阅 Cloud Build 服务帐号。
- 如需了解如何向默认 Cloud Build 服务帐号授予权限,请参阅配置 Cloud Build 服务帐号的访问权限。