Zugriff für Cloud Build-Dienstkonto konfigurieren

Cloud Build verwendet ein spezielles Dienstkonto, um Builds für Sie auszuführen. Wenn Sie die Cloud Build API für ein Google Cloud-Projekt aktivieren, wird das Cloud Build-Dienstkonto automatisch erstellt und erhält die Cloud Build-Dienstkontorolle für das Projekt. Mit dieser Rolle erhält das Dienstkonto Berechtigungen zum Ausführen mehrerer Aufgaben. Sie können dem Dienstkonto jedoch weitere Berechtigungen erteilen, um zusätzliche Aufgaben auszuführen. Auf dieser Seite wird erläutert, wie Sie dem Cloud Build-Dienstkonto Berechtigungen erteilen und entziehen.

Hinweise

• Informationen zu Cloud Build-Rollen und -Berechtigungen
• Lesen Sie Cloud Build-Dienstkonto.

Rolle "Cloud Build"-Dienstkonto über die Seite "Einstellungen" zuweisen

Sie können dem Cloud Build-Dienstkonto auf der Cloud Build-Seite „Einstellungen“ in der Google Cloud Console bestimmte häufig verwendete IAM-Rollen zuweisen:

1. Öffnen Sie die Seite mit den Cloud Build-Einstellungen:

   Zur Seite mit den Cloud Build-Einstellungen

   Sie sehen die Seite Dienstkontoberechtigungen:

   

2. Setzen Sie den Status der Rolle, die Sie hinzufügen möchten, auf Aktivieren.

Cloud Build-Dienstkonto über die IAM-Seite eine Rolle zuweisen

Wenn die Rolle, die Sie gewähren möchten, in der Google Cloud Console auf der Seite mit den Cloud Build-Einstellungen nicht aufgeführt ist, weisen Sie sie auf der Seite „IAM“ zu:

1. Zur Seite "IAM":

   IAM-Seite öffnen

2. Wählen Sie Ihr Google Cloud-Projekt aus.

3. Klicken Sie über der Tabelle mit den Berechtigungen das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen an.

   Die Berechtigungstabelle enthält nun mehr Zeilen.

4. Suchen Sie in der Tabelle mit den Berechtigungen nach der Zeile, deren E-Mail-Adresse mit @cloudbuild.gserviceaccount.com endet. Dies ist Ihr Cloud Build-Dienstkonto.

5. Klicken Sie auf das Stiftsymbol.

6. Wählen Sie die Rolle aus, die Sie dem Cloud Build-Dienstkonto zuweisen möchten.

7. Klicken Sie auf Speichern.

Rolle aus dem Cloud Build-Dienstkonto widerrufen

1. Zur Seite "IAM":

   IAM-Seite öffnen

2. Wählen Sie Ihr Google Cloud-Projekt aus.

3. Klicken Sie über der Tabelle mit den Berechtigungen das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen an.

   Die Berechtigungstabelle enthält nun mehr Zeilen.

4. Suchen Sie in der Tabelle mit den Berechtigungen nach der Zeile, deren E-Mail-Adresse mit @cloudbuild.gserviceaccount.com endet. Dies ist Ihr Cloud Build-Dienstkonto.

5. Klicken Sie auf das Stiftsymbol.

6. Suchen Sie die Rolle, die Sie widerrufen möchten, und klicken Sie auf den Papierkorb neben der Rolle.

Cloud Build-Dienst-Agent eine Rolle zuweisen

Neben dem Cloud Build-Dienstkonto hat Cloud Build ein weiteres von Google verwaltetes Dienstkonto mit dem Namen Cloud Build-Dienst-Agent, über das andere Google Cloud-Dienste auf Ihre Ressourcen zugreifen können. Wenn Sie die Cloud Build API aktivieren, wird der Dienst-Agent automatisch im Google Cloud-Projekt erstellt. Der Dienst-Agent hat das folgende Format, wobei PROJECT_NUMBER Ihre Projektnummer ist:

     service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com

Sie können den Dienst-Agent für ein Projekt aufrufen. Dazu rufen Sie die Seite IAM in der Google Cloud Console auf und klicken das Kästchen Von Google verwaltete Dienstkonten anzeigen an.

Wenn Sie den Cloud Build-Dienst-Agent versehentlich aus Ihrem Projekt gelöscht haben, können Sie ihn manuell hinzufügen:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
    --role="roles/cloudbuild.serviceAgent"

Nächste Schritte

• Benutzerdefinierten Dienstkonten
• Weitere Informationen zu Dienstkonten lesen
• Zugriff auf Cloud Build-Ressourcen konfigurieren
• Weitere Informationen zu den Berechtigungen zum Aufrufen von Build-Logs