Configurar o acesso à conta de serviço do Cloud Build

O Cloud Build usa uma conta de serviço especial para executar versões em seu nome. Quando você ativa a API Cloud Build em um projeto do Google Cloud, a conta de serviço do Cloud Build é criada automaticamente e recebe o papel de conta de serviço do Cloud Build para o projeto. Esse papel concede à conta de serviço permissões para executar várias tarefas. No entanto, você pode conceder mais permissões à conta de serviço para realizar tarefas adicionais. Nesta página, explicamos como conceder e revogar permissões para a conta de serviço do Cloud Build.

Antes de começar

Como conceder um papel à conta de serviço do Cloud Build usando a página "Configurações"

É possível conceder determinados papéis do IAM usados com frequência à conta de serviço do Cloud Build usando a página "Configurações do Cloud Build" no console do Google Cloud:

  1. Abra a página "Configurações" do Cloud Build:

    Abrir a página "Configurações do Cloud Build"

    Você verá a página Permissões da conta de serviço:

    Captura de tela da página de permissões da conta de serviço

  2. Defina o status do papel que você quer adicionar como Ativar.

Como conceder um papel à conta de serviço do Cloud Build usando a página do IAM

Se o papel que você quer conceder não estiver listado na página "Configurações do Cloud Build" no console do Google Cloud, use a página do IAM para conceder o papel:

  1. Abra a página do IAM:

    Abra a página do IAM

  2. Selecione seu projeto do Google Cloud.

  3. Acima da tabela de permissões, marque a caixa de seleção Incluir concessões de papéis fornecidos pelo Google.

    Mais linhas vão aparecer na tabela de permissões.

  4. Na tabela de permissões, localize a linha com o endereço de e-mail que termina com @cloudbuild.gserviceaccount.com. Esta é sua conta de serviço do Cloud Build.

  5. Clique no ícone de lápis.

  6. Selecione o papel que você quer conceder à conta de serviço do Cloud Build.

  7. Clique em Save.

Como revogar um papel da conta de serviço do Cloud Build

  1. Abra a página do IAM:

    Abra a página do IAM

  2. Selecione seu projeto do Google Cloud.

  3. Acima da tabela de permissões, marque a caixa de seleção Incluir concessões de papéis fornecidos pelo Google.

    Mais linhas vão aparecer na tabela de permissões.

  4. Na tabela de permissões, localize a linha com o endereço de e-mail que termina com @cloudbuild.gserviceaccount.com. Esta é sua conta de serviço do Cloud Build.

  5. Clique no ícone de lápis.

  6. Localize o papel que você quer revogar e clique na lixeira ao lado do papel.

Como conceder um papel ao agente de serviço do Cloud Build

Além da conta de serviço do Cloud Build, ele tem outra conta de serviço gerenciada pelo Google, chamada Agente de serviço do Cloud Build, que permite que outros serviços do Google Cloud acessem seus recursos. Quando você ativa a API Cloud Build, o agente de serviço é criado automaticamente no projeto do Google Cloud. O agente de serviço tem o seguinte formato, em que PROJECT_NUMBER é o número do projeto:

     service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com

Para visualizar o agente de serviço de um projeto, acesse a página do IAM no console do Google Cloud e marque a caixa de seleção Mostrar contas de serviço gerenciado pelo Google.

Se você excluiu acidentalmente o agente de serviço do Cloud Build do seu projeto, é possível adicioná-lo manualmente usando as seguintes etapas:

Console

  1. Abra a página IAM no console do Google Cloud:

    Abrir a página do IAM

  2. Clique em Conceder acesso.

  3. Adicione a seguinte conta principal, em que PROJECT_NUMBER é o número do projeto:

    service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
    
  4. Selecione Agentes de serviço > Agente de serviço do Cloud Build como seu papel.

  5. Clique em Save.

gcloud

Conceda o papel roles/cloudbuild.serviceAgent do IAM ao agente de serviço do Cloud Build:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
    --role="roles/cloudbuild.serviceAgent"

Substitua os valores de marcador no comando pelo seguinte:

  • PROJECT_ID: o ID do projeto
  • PROJECT_NUMBER: o número do projeto

A seguir