Cloud Build 使用默认服务账号在您的 。例如,当 Cloud Build 旧版服务账号是 Cloud Build 服务账号 项目的角色。此角色可向服务账号授予 可执行多项任务,但 可以向服务账号授予更多权限 任务。本页介绍了如何授予和撤消默认 Cloud Build 服务账号的权限。
准备工作
- 了解 Cloud Build 角色和权限。
- 请参阅 Cloud Build 默认服务账号。
使用“设置”页面向 Cloud Build 默认服务账号授予角色
您可以向 Cloud Build 授予某些常用的 IAM 角色 默认服务账号:
打开 Cloud Build 的“设置”页面:
您将会看到服务账号权限页面:
使用下拉菜单选择要更新的服务账号。
将您要添加的角色的状态设置为启用。
使用 IAM 页面向 Cloud Build 默认服务账号授予角色
如果您要授予的角色未列在 Google Cloud 控制台中 Cloud Build 的“设置”页面中,请使用 IAM 页面授予该角色:
打开 IAM 页面:
选择您的 Google Cloud 项目。
在权限表格上方,选中包括 Google 提供的角色授权复选框。
您会看到权限表中显示了更多行。
在权限表中,找到您的 Cloud Build 默认服务账号。
点击铅笔图标。
选择要授予 Cloud Build 服务账号的角色。
点击保存。
撤消 Cloud Build 服务账号中的角色
打开 IAM 页面:
选择您的 Google Cloud 项目。
在权限表格上方,选中包括 Google 提供的角色授权复选框。
您会看到权限表中显示了更多行。
在权限表中,找到您的 Cloud Build 默认服务账号。
点击铅笔图标。
找到要撤消的角色,然后点击该角色旁边的删除垃圾箱。
向 Cloud Build 服务代理授予角色
除了 Cloud Build 默认服务账号之外,Cloud Build 还有一个 Cloud Build Service Agent,允许其他 Google Cloud 服务访问您的资源。启用
Cloud Build API,那么系统会在
Google Cloud 项目。该服务账号采用以下格式,其中 PROJECT_NUMBER 是您的项目编号。
service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
如需查看项目的服务代理,您可以前往 Google Cloud 控制台中的 IAM 页面,然后选中显示 Google 管理的服务账号复选框。
如果您不小心撤消了 Cloud Build 服务代理的角色 可以按照以下步骤手动授予该权限:
控制台
在 Google Cloud 控制台中打开 IAM 页面:
点击授予访问权限。
添加以下主账号,其中
PROJECT_NUMBER是您的项目编号:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com选择服务代理 Cloud Build Service Agent 作为您的角色。
点击保存。
gcloud
将 roles/cloudbuild.serviceAgent IAM 角色授予 Cloud Build 服务代理:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
--role="roles/cloudbuild.serviceAgent"
将命令中的占位值替换为以下内容:
PROJECT_ID:项目 IDPROJECT_NUMBER:项目编号
后续步骤
- 了解用户指定的服务账号。
- 深入了解服务账号。
- 了解如何配置对 Cloud Build 资源的访问权限。
- 了解查看构建日志所需的权限。