Cuentas de servicio de Cloud Deploy

En este documento, se describen las cuentas de servicio que se usan para ejecutar Cloud Deploy y llamarlo a fin de ejecutar varias operaciones.

Cloud Deploy usa dos cuentas de servicio:

El agente de servicio de Cloud Deploy

Cloud Deploy usa esta cuenta de servicio para interactuar con tu proyecto. No puedes reemplazar este agente de servicio por una cuenta de servicio alternativa, pero puedes editar sus permisos, por ejemplo, cuando usas recursos fuera del proyecto (como una cuenta de servicio o un grupo privado de trabajadores de Cloud Build).
La cuenta de servicio de ejecución de Cloud Deploy

Cloud Deploy usa esta cuenta de servicio para ejecutar operaciones de renderización y de implementación en Cloud Build. Esta cuenta necesita permisos suficientes para leer y escribir en el bucket de Cloud Storage y acceder a los destinos de implementación.

La cuenta de servicio predeterminada para la ejecución es la cuenta de servicio predeterminada de Compute Engine. Puedes especificar una cuenta de servicio alternativa en la configuración de destino.
La cuenta de servicio de automatización de Cloud Deploy

Esta es la cuenta de servicio que Cloud Deploy usa para realizar automatizaciones. Puede ser la cuenta de servicio de ejecución predeterminada o alguna otra cuenta de servicio. Consulta La cuenta de servicio de automatización para obtener más información sobre esta cuenta de servicio.

Consulta Crea y administra cuentas de servicio para obtener instrucciones sobre cómo editar los permisos de las cuentas de servicio y cómo crear una cuenta de servicio alternativa.

Agente de servicio de Cloud Deploy

El agente de servicio de Cloud Deploy es una cuenta de servicio que Cloud Deploy usa para interactuar con otros servicios de Google Cloud de los que depende Cloud Deploy. Estos servicios incluyen Cloud Build, Pub/Sub y Registros de auditoría de Cloud.

El nombre de esta cuenta de servicio sigue este patrón:

service-<project-number>@gcp-sa-clouddeploy.iam.gserviceaccount.com

No puedes reemplazar el agente de servicio por una cuenta de servicio alternativa. Sin embargo, es posible que debas agregar permisos, por ejemplo, para permitir el acceso a un grupo privado en otro proyecto, configurado como parte de un entorno de ejecución.

Cuenta de servicio de ejecución de Cloud Deploy

Según la configuración predeterminada, Cloud Deploy se ejecuta con la cuenta de servicio predeterminada de Compute Engine. Esa cuenta de servicio tiene permisos suficientes en el proyecto que la contiene para renderizar manifiestos y, luego, implementarlos en tus destinos.

El nombre de esta cuenta de servicio sigue este patrón:

[project-number]-compute@developer.gserviceaccount.com

Esta cuenta de servicio predeterminada tiene permisos amplios. La práctica recomendada es cambiar el entorno de ejecución para que Cloud Deploy se ejecute como una cuenta de servicio diferente. Puedes cambiar la cuenta de servicio de ejecución de cada destino con la propiedad executionConfigs.privatePool.serviceAccount o executionConfigs.defaultPool.serviceAccount en la definición del destino.

Cualquier cuenta de servicio que configures para estas propiedades debe tener la función roles/clouddeploy.jobRunner en el proyecto de Cloud Deploy. Si la cuenta de servicio de ejecución predeterminada no tiene este permiso, ejecuta el siguiente comando:

 gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
     --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
     --role="roles/clouddeploy.jobRunner"

Qué cuentas de servicio crear

Si eliges no usar la cuenta de servicio de ejecución predeterminada para la renderización y la implementación, debes crear una o más cuentas de servicio alternativas a fin de usarlas. Estas son cuentas de servicio con las que se ejecuta Cloud Deploy y se configuran en la configuración de destino.

Un motivo para crear más de una sería tener una o varias cuentas de servicio específicas a fin de implementar en destinos restringidos, como un objetivo de producción.

Un enfoque posible es usar cuentas de servicio independientes por canalización de entrega. Cada una de esas cuentas de servicio incluiría funciones con permisos suficientes para renderizar e implementar.

Para las implementaciones en Google Kubernetes Engine, puedes restringir la cuenta de servicio a un espacio de nombres.

Usa cuentas de servicio de un proyecto diferente

Para tu entorno de ejecución, puedes especificar una cuenta de servicio que esté en un proyecto diferente del que creaste la canalización de entrega:

En el proyecto que posee la cuenta de servicio, habilita la política de la organización de SA entre proyectos.
Otorga al agente de servicio de Cloud Deploy (service-<project-number>@gcp-sa-clouddeploy.iam.gserviceaccount.com) el permiso iam.serviceAccounts.actAs para tu cuenta de servicio.

También puedes otorgar la función roles/iam.serviceAccountUser, que incluye ese permiso.
Otorga al agente de servicio de Cloud Build (service-<project-number>@gcp-sa-cloudbuild.iam.gserviceaccount.com) el rol roles/iam.serviceAccountTokenCreator.
Otorga al llamador de gcloud deploy releases create y gcloud deploy rollouts create el permiso iam.serviceAccounts.actAs en la cuenta de servicio o la función [roles/iam.serviceAccountUser](/iam/docs/understanding-roles#service-accounts-roles).

Permisos necesarios

La cuenta de servicio que se usa para la configuración de procesamiento debe tener permisos suficientes a fin de acceder al bucket de Cloud Storage, en el que se almacenan tus recursos de Cloud Deploy (canalizaciones de entrega, actualizaciones, lanzamientos).

El rol roles/clouddeploy.jobRunner incluye todos los permisos que necesita la cuenta de servicio de procesamiento (privatePool o defaultPool).
La cuenta de servicio que se usa en la implementación debe tener permisos suficientes para implementar en el clúster de destino y permiso para acceder al bucket de Cloud Storage.

Nota: Si usas un bucket personalizado de Cloud Storage, puedes colocarlo en cualquier lugar. (no es necesario que esté en la misma región, por ejemplo, que la canalización de entrega).
La cuenta de servicio que llama a Cloud Deploy para crear una versión debe tener la función clouddeploy.releaser. También debe tener el permiso iam.serviceAccount.actAs para usar la cuenta de servicio que procesa los manifiestos (por ejemplo, a través de la función roles/iam.serviceAccountUser).
La cuenta de servicio que llama a Cloud Deploy para promover una versión o crear un rollout debe tener el permiso iam.serviceAccount.actAs para usar la cuenta de servicio que se implementa en los destinos (por ejemplo, a través de la función roles/iam.serviceAccountUser).
La cuenta de servicio configurada para una automatización debe tener permiso a fin de ejecutar las operaciones que se automatizan. Obtén más información.

La cuenta de servicio de automatización

Puedes automatizar algunas acciones en una versión. Cloud Deploy ejecuta estas automatizaciones con la cuenta de servicio de automatización, que puede ser la cuenta de servicio de ejecución predeterminada, una no predeterminada que se usa como cuenta de servicio de ejecución, o bien otra cuenta de servicio.

Esta cuenta de servicio se describe en la sección La cuenta de servicio de automatización.

¿Qué sigue?

Obtén información sobre IAM.
Obtén información sobre los roles predefinidos de Cloud Deploy.
Aprende a crear y administrar cuentas de servicio.