Cloud Build menggunakan akun layanan default untuk menjalankan build atas nama Anda. Misalnya, saat akun layanan lama Cloud Build dibuat, akun tersebut akan otomatis diberi peran Akun Layanan Cloud Build untuk project. Peran ini memberi akun layanan izin untuk melakukan beberapa tugas, tetapi Anda dapat memberikan lebih banyak izin ke akun layanan untuk melakukan tugas tambahan. Halaman ini menjelaskan cara memberikan dan mencabut izin ke akun layanan Cloud Build default.
Sebelum memulai
- Pahami peran dan izin Cloud Build.
- Baca Akun layanan default Cloud Build.
Memberikan peran ke akun layanan default Cloud Build menggunakan halaman Setelan
Anda dapat memberikan peran IAM tertentu yang umum digunakan ke akun layanan default Cloud Build menggunakan halaman Setelan Cloud Build di konsol Google Cloud:
Buka halaman Setelan Cloud Build:
Buka halaman Setelan Cloud Build
Anda akan melihat halaman Izin akun layanan:
Gunakan menu drop-down untuk memilih akun layanan yang ingin Anda perbarui.
Tetapkan status peran yang ingin Anda tambahkan ke Aktifkan.
Memberikan peran ke akun layanan default Cloud Build menggunakan halaman IAM
Jika peran yang ingin Anda berikan tidak tercantum di halaman Setelan Cloud Build di konsol Google Cloud, gunakan halaman IAM untuk memberikan peran tersebut:
Buka halaman IAM:
Pilih project Google Cloud Anda.
Di atas tabel izin, centang kotak Sertakan pemberian peran yang diberikan Google.
Anda akan melihat lebih banyak baris muncul di tabel izin.
Di tabel izin, temukan akun layanan default Cloud Build Anda.
Klik ikon pensil.
Pilih peran yang ingin Anda berikan ke akun layanan Cloud Build.
Klik Simpan.
Membatalkan peran dari akun layanan Cloud Build
Buka halaman IAM:
Pilih project Google Cloud Anda.
Di atas tabel izin, centang kotak Sertakan pemberian peran yang diberikan Google.
Anda akan melihat lebih banyak baris muncul di tabel izin.
Di tabel izin, temukan akun layanan default Cloud Build Anda.
Klik ikon pensil.
Cari peran yang ingin dicabut, lalu klik ikon tempat sampah di samping peran tersebut.
Memberikan peran ke agen layanan Cloud Build
Selain akun layanan default Cloud Build, Cloud Build memiliki agen layanan Cloud Build yang memungkinkan layanan Google Cloud lainnya mengakses resource Anda. Setelah Anda mengaktifkan Cloud Build API, agen layanan akan otomatis dibuat di project Google Cloud. Agen layanan memiliki format berikut, dengan
PROJECT_NUMBER adalah nomor project Anda.
service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
Anda dapat melihat agen layanan untuk project dengan membuka halaman IAM di konsol Google Cloud dan mencentang kotak Tampilkan akun layanan yang dikelola Google.
Jika tidak sengaja mencabut peran agen layanan Cloud Build di project, Anda dapat memberikannya secara manual menggunakan langkah-langkah berikut:
Konsol
Buka halaman IAM di konsol Google Cloud:
Klik Grant access.
Tambahkan akun utama berikut, dengan
PROJECT_NUMBERadalah nomor project Anda:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.comPilih Service Agents > Cloud Build Service Agent sebagai peran Anda.
Klik Simpan.
gcloud
Berikan peran IAM roles/cloudbuild.serviceAgent ke
agen layanan Cloud Build:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
--role="roles/cloudbuild.serviceAgent"
Ganti nilai placeholder dalam perintah dengan nilai berikut:
PROJECT_ID: ID projectPROJECT_NUMBER: Nomor project
Langkah selanjutnya
- Pelajari akun layanan yang ditentukan pengguna.
- Pelajari akun layanan secara mendalam.
- Pelajari cara mengonfigurasi akses ke resource Cloud Build.
- Pelajari izin yang diperlukan untuk melihat log build.