Configura el acceso a la cuenta de servicio predeterminada de Cloud Build

En esta página, se explica cómo otorgar y revocar permisos a la cuenta de servicio predeterminada de Cloud Build.

Ten en cuenta que a la cuenta de servicio heredada de Cloud Build se le otorga automáticamente el rol de cuenta de servicio de Cloud Build para el proyecto. La cuenta de servicio predeterminada de Compute Engine no incluye este rol. Puedes otorgar más permisos a cualquier cuenta de servicio que uses.

Antes de comenzar

• Comprende las funciones y permisos de Cloud Build.
• Lee Cuenta de servicio predeterminada de Cloud Build.

Otorga un rol a la cuenta de servicio predeterminada de Cloud Build mediante la página Configuración

Puedes otorgar ciertos roles de IAM de uso general a la cuenta de servicio predeterminada de Cloud Build mediante la página Configuración de Cloud Build en la consola de Google Cloud:

1. Abre la página Configuración (Settings) de Cloud Build:

   Abrir la página Configuración (Settings) de Cloud Build

   Verás la página Permisos de cuenta de servicio (Service account permissions):

   

2. Usa el menú desplegable para seleccionar la cuenta de servicio que deseas actualizar.

3. Establece el estado de la función que deseas agregar en Habilitar (Enable).

Otorga un rol a la cuenta de servicio predeterminada de Cloud Build mediante la página de IAM

Si el rol que deseas otorgar no aparece en la página de configuración de Cloud Build en la consola de Google Cloud, usa la página de IAM para otorgar el rol:

1. Abrir la página de IAM

   Abrir la página IAM

2. Selecciona tu proyecto de Google Cloud.

3. Sobre la tabla de permisos, selecciona la casilla de verificación Incluir asignaciones de roles proporcionadas por Google.

   Verás que aparecen más filas en la tabla de permisos.

4. En la tabla de permisos, busca tu cuenta de servicio predeterminada de Cloud Build.

5. Haz clic en el ícono de lápiz.

6. Selecciona el rol que deseas otorgar a la cuenta de servicio de Cloud Build.

7. Haz clic en Guardar.

Revoca un rol de la cuenta de servicio de Cloud Build

1. Abrir la página de IAM

   Abrir la página IAM

2. Selecciona tu proyecto de Google Cloud.

3. Sobre la tabla de permisos, selecciona la casilla de verificación Incluir asignaciones de roles proporcionadas por Google.

   Verás que aparecen más filas en la tabla de permisos.

4. En la tabla de permisos, busca tu cuenta de servicio predeterminada de Cloud Build.

5. Haz clic en el ícono de lápiz.

6. Encuentra la función que deseas revocar y haz clic en la papelera de borrado que aparece junto a ella.

Otorga un rol al agente de servicio de Cloud Build

Además de la cuenta de servicio predeterminada de Cloud Build, Cloud Build tiene un agente de servicio de Cloud Build que permite que otros Google Cloud servicios accedan a tus recursos. Después de habilitar la API de Cloud Build, el agente de servicio se crea automáticamente en el proyecto de Google Cloud. El agente de servicio tiene el siguiente formato, en el que PROJECT_NUMBER es tu número de proyecto:

     service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com

Para ver el agente de servicio de un proyecto, ve a la página IAM en la consola de Google Cloud y selecciona la casilla de verificación Mostrar cuentas de servicio administradas por Google.

Si revocaste accidentalmente el rol del agente de servicio de Cloud Build en tu proyecto, puedes otorgarlo de forma manual siguiendo estos pasos:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
    --role="roles/cloudbuild.serviceAgent"

¿Qué sigue?

• Obtén más información sobre las cuentas de servicio especificadas por el usuario.
• Aprende sobre cuentas de servicio en profundidad.
• Obtén información para configurar el acceso a los recursos de Cloud Build.
• Obtén más información sobre los permisos necesarios para ver los registros de compilación.