Menetapkan akun layanan build (deploy sumber)

Selama deployment sumber, Cloud Run memanfaatkan Cloud Build saat mem-build dan men-deploy layanan Cloud Run Anda.

Halaman ini menunjukkan cara menetapkan akun layanan yang ditentukan pengguna untuk digunakan Cloud Build saat menjalankan build layanan atas nama Anda. Panduan ini relevan bagi developer platform yang men-deploy layanan atau fungsi Cloud Run menggunakan Google Cloud CLI dan perlu menyesuaikan akun layanan build yang digunakan oleh Cloud Build. Flag gcloud CLI akun layanan build didukung untuk deployment sumber (--source), dan tidak didukung untuk deployment image container (--image).

Sebelum memulai

  1. Aktifkan Cloud Build API:

    gcloud services enable cloudbuild.googleapis.com
  2. Buat akun layanan, atau memiliki akun layanan yang ada, untuk digunakan sebagai akun layanan Cloud Build.

Peran yang diperlukan

Anda atau administrator harus memberikan peran IAM berikut ke akun deployer dan akun layanan Cloud Build.

Klik untuk melihat peran yang diperlukan untuk akun deployer

Untuk mendapatkan izin yang diperlukan untuk mem-build dan men-deploy dari sumber, minta administrator untuk memberi Anda peran IAM berikut:

Klik untuk melihat peran yang diperlukan untuk akun layanan Cloud Build

Untuk mengizinkan akun layanan Cloud Build melakukan build saat men-deploy fungsi, minta administrator untuk memberikan peran Cloud Run Builder (roles/run.builder) ke akun layanan Cloud Build di project.

Untuk mengetahui daftar peran dan izin IAM yang terkait dengan Cloud Run, lihat Peran IAM Cloud Run dan Izin IAM Cloud Run. Jika layanan Cloud Run Anda berinteraksi dengan Google Cloud API, seperti Library Klien Cloud, lihat panduan konfigurasi identitas layanan. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat izin deployment dan mengelola akses.

Menentukan akun layanan Cloud Build

Secara default, jika akun layanan Cloud Build tidak ditentukan saat men-deploy layanan atau fungsi dari sumber, Cloud Build akan menggunakan akun layanan Cloud Build default.

Sebagai praktik terbaik untuk mengikuti prinsip hak istimewa terendah guna meningkatkan postur keamanan layanan, sebaiknya tentukan akun layanan Anda sendiri untuk menjalankan build saat men-deploy layanan dari sumber.

gcloud

Untuk menentukan akun layanan Cloud Build saat men-deploy layanan dari kode sumber, gunakan flag --build-service-account:

gcloud run deploy SERVICE \
    --source . \
    --build-service-account projects/PROJECT_ID/serviceAccounts/BUILD_SERVICE_ACCOUNT

Ganti:

  • SERVICE dengan nama layanan Cloud Run Anda.
  • PROJECT_ID project ID tempat akun layanan build dibuat.
  • BUILD_SERVICE_ACCOUNT dengan akun layanan yang ditentukan pengguna.

Jika Anda men-deploy fungsi, tambahkan flag --function dengan titik masuk fungsi dari kode sumber Anda.