Selama deployment sumber, Cloud Run memanfaatkan Cloud Build saat mem-build dan men-deploy layanan Cloud Run Anda.
Halaman ini menunjukkan cara menetapkan
akun layanan yang ditentukan pengguna
untuk digunakan Cloud Build saat menjalankan build layanan atas nama Anda.
Panduan ini relevan bagi developer platform yang men-deploy layanan atau fungsi Cloud Run menggunakan Google Cloud CLI dan perlu menyesuaikan akun layanan build yang digunakan oleh Cloud Build. Flag gcloud CLI akun layanan build didukung untuk
deployment sumber (--source
), dan tidak
didukung untuk deployment image container (--image
).
Sebelum memulai
Aktifkan Cloud Build API:
gcloud services enable cloudbuild.googleapis.com
Buat akun layanan, atau memiliki akun layanan yang ada, untuk digunakan sebagai akun layanan Cloud Build.
Peran yang diperlukan
Anda atau administrator harus memberikan peran IAM berikut ke akun deployer dan akun layanan Cloud Build.
Klik untuk melihat peran yang diperlukan untuk akun deployer
Untuk mendapatkan izin yang diperlukan untuk mem-build dan men-deploy dari sumber, minta administrator untuk memberi Anda peran IAM berikut:
- Cloud Run Source Developer (
roles/run.sourceDeveloper
) di project Anda - Service Account User (
roles/iam.serviceAccountUser
) di identitas layanan Cloud Run
Klik untuk melihat peran yang diperlukan untuk akun layanan Cloud Build
Untuk mengizinkan akun layanan Cloud Build melakukan build saat men-deploy fungsi, minta administrator untuk memberikan peran Cloud Run Builder (roles/run.builder
) ke akun layanan Cloud Build di project.
Untuk mengetahui daftar peran dan izin IAM yang terkait dengan Cloud Run, lihat Peran IAM Cloud Run dan Izin IAM Cloud Run. Jika layanan Cloud Run Anda berinteraksi dengan Google Cloud API, seperti Library Klien Cloud, lihat panduan konfigurasi identitas layanan. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat izin deployment dan mengelola akses.
Menentukan akun layanan Cloud Build
Secara default, jika akun layanan Cloud Build tidak ditentukan saat men-deploy layanan atau fungsi dari sumber, Cloud Build akan menggunakan akun layanan Cloud Build default.
Sebagai praktik terbaik untuk mengikuti prinsip hak istimewa terendah guna meningkatkan postur keamanan layanan, sebaiknya tentukan akun layanan Anda sendiri untuk menjalankan build saat men-deploy layanan dari sumber.
gcloud
Untuk menentukan akun layanan Cloud Build saat men-deploy
layanan dari kode sumber, gunakan flag --build-service-account
:
gcloud beta run deploy SERVICE \ --source . \ --build-service-account projects/PROJECT_ID/serviceAccounts/BUILD_SERVICE_ACCOUNT
Ganti:
- SERVICE dengan nama layanan Cloud Run Anda.
- PROJECT_ID project ID tempat akun layanan build dibuat.
- BUILD_SERVICE_ACCOUNT dengan akun layanan yang ditentukan pengguna.
Jika Anda men-deploy fungsi, tambahkan flag --function
dengan titik masuk fungsi dari kode sumber Anda.