Cloud Build utilise un compte de service spécial pour exécuter des compilations en votre nom. Lorsque vous activez l'API Cloud Build sur un projet Google Cloud, le compte de service Cloud Build est automatiquement créé et reçoit le rôle de compte de service Cloud Build pour le projet. Ce rôle donne au compte de service l'autorisation d'exécuter plusieurs tâches. Toutefois, vous pouvez accorder d'autres autorisations au compte de service pour effectuer d'autres tâches. Cette page explique comment accorder et révoquer des autorisations sur le compte de service Cloud Build.
Avant de commencer
- Comprendre les rôles et autorisations Cloud Build
- Lisez la section Compte de service Cloud Build.
Attribuer un rôle au compte de service Cloud Build à l'aide de la page Paramètres
Vous pouvez attribuer certains rôles IAM couramment utilisés au compte de service Cloud Build via la page "Paramètres Cloud Build" de la console Google Cloud:
Accédez à la page "Paramètres" de Cloud Build.
Accéder à la page Paramètres de Cloud Build
La page "Autorisations de compte de service" s'affiche alors :
Définissez le rôle que vous souhaitez ajouter sur l'état Activé.
Attribuer un rôle au compte de service Cloud Build à l'aide de la page IAM
Si le rôle que vous souhaitez attribuer ne figure pas sur la page "Paramètres Cloud Build" de la console Google Cloud, accordez le rôle à l'aide de la page "IAM" :
Ouvrez la page "IAM" :
Sélectionnez votre projet Google Cloud.
Au-dessus du tableau des autorisations, cochez la case Inclure les attributions de rôles fournies par Google.
Le tableau des autorisations comporte davantage de lignes.
Dans le tableau des autorisations, localisez la ligne dont l'adresse e-mail se termine par
@cloudbuild.gserviceaccount.com
. Il s'agit du compte de service Cloud Build.Cliquez sur l'icône en forme de crayon.
Sélectionnez le rôle que vous souhaitez attribuer au compte de service Cloud Build.
Cliquez sur Enregistrer.
Révoquer un rôle à partir du compte de service Cloud Build
Ouvrez la page "IAM" :
Sélectionnez votre projet Google Cloud.
Au-dessus du tableau des autorisations, cochez la case Inclure les attributions de rôles fournies par Google.
Le tableau des autorisations comporte davantage de lignes.
Dans le tableau des autorisations, localisez la ligne dont l'adresse e-mail se termine par
@cloudbuild.gserviceaccount.com
. Il s'agit du compte de service Cloud Build.Cliquez sur l'icône en forme de crayon.
Recherchez le rôle que vous souhaitez révoquer, puis cliquez sur la corbeille à côté du rôle.
Attribuer un rôle à l'agent de service Cloud Build
En plus du compte de service Cloud Build, Cloud Build dispose d'un agent de service Cloud Build qui permet à d'autres services Google Cloud d'accéder à vos ressources. Une fois l'API Cloud Build activée, l'agent de service est automatiquement créé dans le projet Google Cloud.
L'agent de service a le format suivant, où PROJECT_NUMBER
est le numéro de votre projet.
service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
Pour afficher l'agent de service d'un projet, accédez à la page IAM de la console Google Cloud et cochez la case Afficher les comptes de service gérés par Google.
Si vous avez accidentellement révoqué le rôle de l'agent de service Cloud Build sur votre projet, vous pouvez l'accorder manuellement en procédant comme suit:
Console
Ouvrez la page IAM dans la console Google Cloud:
Cliquez sur Accorder l'accès.
Ajoutez le compte principal suivant, où
PROJECT_NUMBER
correspond au numéro de votre projet :service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
Pour votre rôle, sélectionnez Agents de service > Agent de service Cloud Build.
Cliquez sur Enregistrer.
gcloud
Accordez le rôle IAM roles/cloudbuild.serviceAgent
à l'agent de service Cloud Build:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
--role="roles/cloudbuild.serviceAgent"
Remplacez les valeurs d'espace réservé dans la commande par les éléments suivants :
PROJECT_ID
: ID du projetPROJECT_NUMBER
: numéro du projet
Étapes suivantes
- Apprenez-en plus sur les comptes de service spécifiés par l'utilisateur.
- Découvrez en détail les comptes de service.
- Découvrez comment configurer l'accès aux ressources Cloud Build.
- Apprenez-en plus sur les autorisations requises pour afficher les journaux de compilation.