Cloud Build utilizza un account di servizio speciale per eseguire le build per tuo conto. Quando abiliti l'API Cloud Build in un progetto Google Cloud, l'account di servizio Cloud Build viene creato automaticamente e gli viene assegnato il ruolo Account di servizio Cloud Build per il progetto. Questo ruolo concede all'account di servizio le autorizzazioni per eseguire diverse attività, ma puoi concedere all'account di servizio altre autorizzazioni per eseguire altre attività. Questa pagina spiega come concedere e revocare le autorizzazioni all'account di servizio Cloud Build.
Prima di iniziare
Concessione di un ruolo all'account di servizio Cloud Build mediante la pagina Impostazioni
Puoi concedere all'account di servizio Cloud Build determinati ruoli IAM di uso comune utilizzando la pagina Impostazioni di Cloud Build nella console Google Cloud:
Apri la pagina Impostazioni di Cloud Build:
Apri la pagina Impostazioni di Cloud Build
Verrà visualizzata la pagina Autorizzazioni account di servizio:
Imposta lo stato del ruolo che vuoi aggiungere su Abilitato.
Concessione di un ruolo all'account di servizio Cloud Build utilizzando la pagina IAM
Se il ruolo che vuoi concedere non è elencato nella pagina Impostazioni Cloud Build della console Google Cloud, utilizza la pagina IAM per concedere il ruolo:
Apri la pagina IAM:
Selezionare il tuo progetto Google Cloud.
Sopra la tabella delle autorizzazioni, seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Nella tabella delle autorizzazioni vengono visualizzate altre righe.
Nella tabella delle autorizzazioni, individua la riga con l'indirizzo email che termina con
@cloudbuild.gserviceaccount.com
. Questo è il tuo account di servizio Cloud Build.Fai clic sull'icona a forma di matita.
Seleziona il ruolo che vuoi concedere all'account di servizio Cloud Build.
Fai clic su Salva.
Revoca di un ruolo dall'account di servizio Cloud Build
Apri la pagina IAM:
Selezionare il tuo progetto Google Cloud.
Sopra la tabella delle autorizzazioni, seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Nella tabella delle autorizzazioni vengono visualizzate altre righe.
Nella tabella delle autorizzazioni, individua la riga con l'indirizzo email che termina con
@cloudbuild.gserviceaccount.com
. Questo è il tuo account di servizio Cloud Build.Fai clic sull'icona a forma di matita.
Individua il ruolo che vuoi revocare e fai clic sul cestino di eliminazione accanto al ruolo.
Concessione di un ruolo all'agente di servizio Cloud Build
Oltre all'account di servizio Cloud Build, Cloud Build ha un altro account di servizio gestito da Google, chiamato agente di servizio Cloud Build, che consente ad altri servizi Google Cloud di accedere alle tue risorse. Quando abiliti l'API Cloud Build, l'agente di servizio viene creato automaticamente nel progetto Google Cloud. L'agente di servizio ha il formato seguente, dove PROJECT_NUMBER
è il numero di progetto.
service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
Per visualizzare l'agente di servizio per un progetto, vai alla pagina IAM nella console Google Cloud e seleziona la casella di controllo Mostra account di servizio gestiti Google.
Se hai eliminato accidentalmente l'agente di servizio Cloud Build dal progetto, puoi aggiungerlo manualmente seguendo questi passaggi:
Console
Apri la pagina IAM nella console Google Cloud:
Fai clic su Concedi accesso.
Aggiungi la seguente entità, dove
PROJECT_NUMBER
è il numero di progetto:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
Seleziona Agenti di servizio > Agente di servizio Cloud Build come ruolo.
Fai clic su Salva.
gcloud
Concedi il ruolo IAM roles/cloudbuild.serviceAgent
all'agente di servizio Cloud Build:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
--role="roles/cloudbuild.serviceAgent"
Sostituisci i valori segnaposto nel comando con quanto segue:
PROJECT_ID
: l'ID progettoPROJECT_NUMBER
: il numero del progetto
Passaggi successivi
- Scopri di più sugli account di servizio specificati dall'utente.
- Scopri di più sugli account di servizio in modo approfondito.
- Scopri di più sulla configurazione dell'accesso alle risorse di Cloud Build.
- Scopri di più sulle autorizzazioni necessarie per visualizzare i log di build.