Configurar o acesso à conta de serviço do Cloud Build

O Cloud Build usa uma conta de serviço especial para executar versões em seu nome. Quando você ativa a API Cloud Build em um projeto do Google Cloud, a conta de serviço do Cloud Build é criada automaticamente e recebe o papel de conta de serviço do Cloud Build para o projeto. Esse papel concede à conta de serviço permissões para executar várias tarefas. No entanto, você pode conceder mais permissões à conta de serviço para realizar tarefas adicionais. Nesta página, explicamos como conceder e revogar permissões para a conta de serviço do Cloud Build.

Antes de começar

• Entenda os papéis e permissões do Cloud Build.
• Leia a conta de serviço do Cloud Build.

Como conceder um papel à conta de serviço do Cloud Build usando a página "Configurações"

É possível conceder determinados papéis do IAM usados com frequência à conta de serviço do Cloud Build usando a página "Configurações do Cloud Build" no console do Google Cloud:

1. Abra a página "Configurações" do Cloud Build:

   Abrir a página "Configurações do Cloud Build"

   Você verá a página Permissões da conta de serviço:

   

2. Defina o status do papel que você quer adicionar a Ativar.

Como conceder um papel à conta de serviço do Cloud Build usando a página do IAM

Se o papel que você quer conceder não estiver listado na página "Configurações do Cloud Build" no console do Google Cloud, use a página do IAM para concedê-lo:

1. Abra a página do IAM:

   Abra a página do IAM

2. Selecione seu projeto do Google Cloud.

3. Acima da tabela de permissões, marque a caixa de seleção Incluir concessões de papéis fornecidos pelo Google.

   Você verá mais linhas na tabela de permissões.

4. Na tabela de permissões, localize a linha com o endereço de e-mail que termina com @cloudbuild.gserviceaccount.com. Esta é sua conta de serviço do Cloud Build.

5. Clique no ícone de lápis.

6. Selecione o papel que você quer conceder à conta de serviço do Cloud Build.

7. Clique em Salvar.

Como revogar um papel da conta de serviço do Cloud Build

1. Abra a página do IAM:

   Abra a página do IAM

2. Selecione seu projeto do Google Cloud.

3. Acima da tabela de permissões, marque a caixa de seleção Incluir concessões de papéis fornecidos pelo Google.

   Você verá mais linhas na tabela de permissões.

4. Na tabela de permissões, localize a linha com o endereço de e-mail que termina com @cloudbuild.gserviceaccount.com. Esta é sua conta de serviço do Cloud Build.

5. Clique no ícone de lápis.

6. Localize o papel que você quer revogar e clique na lixeira ao lado do papel.

Como conceder um papel ao agente de serviço do Cloud Build

Além da conta de serviço do Cloud Build, o Cloud Build tem um agente de serviço do Cloud Build que permite que outros serviços do Google Cloud acessem seus recursos. Depois de ativar a API Cloud Build, o agente de serviço será criado automaticamente no projeto do Google Cloud. O agente de serviço tem o seguinte formato, em que PROJECT_NUMBER é o número do projeto:

     service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com

Para ver o agente de serviço de um projeto, acesse a página do IAM na página do console do Google Cloud e marque a caixa de seleção Mostrar contas de serviço gerenciado do Google.

Se você acidentalmente revogou o papel do agente de serviço do Cloud Build no seu projeto, é possível concedê-lo manualmente usando as seguintes etapas:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
    --role="roles/cloudbuild.serviceAgent"

A seguir

• Saiba mais sobre contas de serviço especificadas pelo usuário.
• Saiba mais detalhes sobre as contas de serviço.
• Saiba como configurar o acesso aos recursos do Cloud Build.
• Saiba mais sobre as permissões necessárias para visualizar os registros de versão.