O Cloud Build usa uma conta de serviço especial para executar versões em seu nome. Quando você ativa a API Cloud Build em um projeto do Google Cloud, a conta de serviço do Cloud Build é criada automaticamente e recebe o papel de conta de serviço do Cloud Build para o projeto. Esse papel concede à conta de serviço permissões para executar várias tarefas. No entanto, você pode conceder mais permissões à conta de serviço para realizar tarefas adicionais. Nesta página, explicamos como conceder e revogar permissões para a conta de serviço do Cloud Build.
Antes de começar
- Entenda os papéis e permissões do Cloud Build.
- Leia a conta de serviço do Cloud Build.
Como conceder um papel à conta de serviço do Cloud Build usando a página "Configurações"
É possível conceder determinados papéis do IAM usados com frequência à conta de serviço do Cloud Build usando a página "Configurações do Cloud Build" no console do Google Cloud:
Abra a página "Configurações" do Cloud Build:
Abrir a página "Configurações do Cloud Build"
Você verá a página Permissões da conta de serviço:
Defina o status do papel que você quer adicionar a Ativar.
Como conceder um papel à conta de serviço do Cloud Build usando a página do IAM
Se o papel que você quer conceder não estiver listado na página "Configurações do Cloud Build" no console do Google Cloud, use a página do IAM para concedê-lo:
Abra a página do IAM:
Selecione seu projeto do Google Cloud.
Acima da tabela de permissões, marque a caixa de seleção Incluir concessões de papéis fornecidos pelo Google.
Você verá mais linhas na tabela de permissões.
Na tabela de permissões, localize a linha com o endereço de e-mail que termina com
@cloudbuild.gserviceaccount.com
. Esta é sua conta de serviço do Cloud Build.Clique no ícone de lápis.
Selecione o papel que você quer conceder à conta de serviço do Cloud Build.
Clique em Salvar.
Como revogar um papel da conta de serviço do Cloud Build
Abra a página do IAM:
Selecione seu projeto do Google Cloud.
Acima da tabela de permissões, marque a caixa de seleção Incluir concessões de papéis fornecidos pelo Google.
Você verá mais linhas na tabela de permissões.
Na tabela de permissões, localize a linha com o endereço de e-mail que termina com
@cloudbuild.gserviceaccount.com
. Esta é sua conta de serviço do Cloud Build.Clique no ícone de lápis.
Localize o papel que você quer revogar e clique na lixeira ao lado do papel.
Como conceder um papel ao agente de serviço do Cloud Build
Além da conta de serviço do Cloud Build, o Cloud Build
tem um agente de serviço do Cloud Build que permite que outros serviços
do Google Cloud acessem seus recursos. Depois de ativar a API Cloud Build, o agente de serviço será criado automaticamente no projeto do Google Cloud.
O agente de serviço tem o seguinte formato, em que PROJECT_NUMBER
é o número do projeto:
service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
Para ver o agente de serviço de um projeto, acesse a página do IAM na página do console do Google Cloud e marque a caixa de seleção Mostrar contas de serviço gerenciado do Google.
Se você acidentalmente revogou o papel do agente de serviço do Cloud Build no seu projeto, é possível concedê-lo manualmente usando as seguintes etapas:
Console
Abra a página do IAM no console do Google Cloud:
Clique em Conceder acesso.
Adicione a seguinte conta principal, em que
PROJECT_NUMBER
é o número do projeto:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
Selecione Agentes de serviço > Agente de serviço do Cloud Build como seu papel.
Clique em Salvar.
gcloud
Conceda o papel roles/cloudbuild.serviceAgent
do IAM ao
agente de serviço do Cloud Build:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
--role="roles/cloudbuild.serviceAgent"
Substitua os valores de marcador no comando pelo seguinte:
PROJECT_ID
: o ID do projetoPROJECT_NUMBER
: o número do projeto
A seguir
- Saiba mais sobre contas de serviço especificadas pelo usuário.
- Saiba mais detalhes sobre as contas de serviço.
- Saiba como configurar o acesso aos recursos do Cloud Build.
- Saiba mais sobre as permissões necessárias para visualizar os registros de versão.