本頁面由 Cloud Translation API 翻譯而成。

設定建構服務帳戶 (來源部署)

在原始碼部署期間，Cloud Run 會在建構及部署 Cloud Run 服務時使用 Cloud Build。

本頁說明如何設定使用者指定的服務帳戶，讓 Cloud Build 在代表您執行服務建構作業時使用。本指南適用於使用 Google Cloud CLI 部署 Cloud Run 服務或函式的平台開發人員，且需要自訂 Cloud Build 使用的建構服務帳戶。建構服務帳戶 gcloud CLI 標記支援來源部署 (--source)，但不支援容器映像檔部署 (--image)。

事前準備

啟用 Cloud Build API：

gcloud services enable cloudbuild.googleapis.com

建立服務帳戶，或使用現有的服務帳戶，做為 Cloud Build 服務帳戶。

必要的角色

您或管理員必須將下列 IAM 角色授予部署者帳戶和 Cloud Build 服務帳戶。

按一下即可查看部署者帳戶的必要角色

如要取得從原始碼建構及部署所需的權限，請管理員授予您下列 IAM 角色：

在專案中使用 Cloud Run 原始碼開發人員 (roles/run.sourceDeveloper)
專案中的服務使用情形消費者 (roles/serviceusage.serviceUsageConsumer)
Cloud Run 服務身分中的服務帳戶使用者 (roles/iam.serviceAccountUser)

按一下即可查看 Cloud Build 服務帳戶的必要角色

如要讓 Cloud Build 服務帳戶在部署函式時執行建構作業，請要求管理員將 Cloud Run 建構工具 (roles/run.builder) 角色授予專案的 Cloud Build 服務帳戶。

如需與 Cloud Run 相關聯的 IAM 角色和權限清單，請參閱「Cloud Run IAM 角色」和「Cloud Run IAM 權限」。如果您的 Cloud Run 服務會與Google Cloud API 互動 (例如 Cloud 用戶端程式庫)，請參閱服務身分設定指南。如要進一步瞭解如何授予角色，請參閱「部署權限」和「管理存取權」。

指定 Cloud Build 服務帳戶

根據預設，如果在從來源部署服務或函式時未指定 Cloud Build 服務帳戶，Cloud Build 會使用預設的 Cloud Build 服務帳戶。

為了遵循最低權限原則，提升服務的安全防護機制，我們建議您在從來源部署服務時，指定要執行建構作業的服務帳戶。

gcloud

如要在從原始碼部署服務時指定 Cloud Build 服務帳戶，請使用 --build-service-account 標記：

gcloud run deploy SERVICE \
    --source . \
    --build-service-account projects/PROJECT_ID/serviceAccounts/BUILD_SERVICE_ACCOUNT

取代：

SERVICE 改為 Cloud Run 服務名稱。
PROJECT_ID 建立 Build 服務帳戶的專案 ID。
BUILD_SERVICE_ACCOUNT 搭配使用者指定的服務帳戶。

如果您要部署函式，請在原始碼中加入 --function 標記，並附上函式進入點。