Esta página explica como conceder e revogar autorizações da conta de serviço do Cloud Build predefinida.
Tenha em atenção que a conta de serviço do Cloud Build antiga recebe automaticamente a função de conta de serviço do Cloud Build para o projeto. A conta de serviço predefinida do Compute Engine não inclui esta função. Pode conceder mais autorizações à conta de serviço que está a usar.
Antes de começar
- Compreenda as funções e as autorizações do Cloud Build.
- Leia o artigo Conta de serviço predefinida do Cloud Build.
Conceda uma função à conta de serviço predefinida do Cloud Build através da página Definições
Pode conceder determinadas funções do IAM usadas frequentemente à conta de serviço do Cloud Build predefinida através da página Definições do Cloud Build na Google Cloud consola:
Abra a página de definições do Cloud Build:
Abra a página de definições do Cloud Build
É apresentada a página Autorizações da conta de serviço:
Use o menu pendente para selecionar a conta de serviço que quer atualizar.
Defina o estado da função que quer adicionar como Ativar.
Conceda uma função à conta de serviço predefinida do Cloud Build através da página do IAM
Se a função que quer conceder não estiver listada na página Definições do Cloud Build na Google Cloud consola, use a página IAM para conceder a função:
Abra a página IAM:
Selecione o seu projeto do Google Cloud .
Acima da tabela de autorizações, selecione a caixa de verificação Incluir concessões de funções fornecidas pela Google.
Vai ver que aparecem mais linhas na tabela de autorizações.
Na tabela de autorizações, encontre a conta de serviço do Cloud Build predefinida.
Clique no ícone de lápis.
Selecione a função que quer conceder à conta de serviço do Cloud Build.
Clique em Guardar.
Revogue uma função da conta de serviço do Cloud Build
Abra a página IAM:
Selecione o seu projeto do Google Cloud .
Acima da tabela de autorizações, selecione a caixa de verificação Incluir concessões de funções fornecidas pela Google.
Vai ver que aparecem mais linhas na tabela de autorizações.
Na tabela de autorizações, encontre a conta de serviço do Cloud Build predefinida.
Clique no ícone de lápis.
Localize a função que quer revogar e clique no ícone de lixo junto à função.
Conceda uma função ao agente do serviço do Cloud Build
Além da conta de serviço predefinida do Cloud Build, o Cloud Build tem um agente de serviço do Cloud Build que permite que
outros Google Cloud serviços acedam aos seus recursos. Depois de ativar a API Cloud Build, o agente de serviço é criado automaticamente no projetoGoogle Cloud . O agente de serviço tem o seguinte formato, em que
PROJECT_NUMBER é o número do seu projeto.
service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
Pode ver o agente de serviço de um projeto acedendo à página IAM na Google Cloud consola e selecionando a caixa de verificação Mostrar contas de serviço geridas pela Google.
Se revogou acidentalmente a função do agente de serviço do Cloud Build no seu projeto, pode concedê-la manualmente através dos seguintes passos:
Consola
Abra a página IAM na Google Cloud consola:
Clique em Conceder acesso.
Adicione o seguinte principal, em que
PROJECT_NUMBERé o número do seu projeto:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.comSelecione Agentes de serviço > Agente de serviço do Cloud Build como função.
Clique em Guardar.
gcloud
Conceda a função de IAM roles/cloudbuild.serviceAgent ao agente de serviço do Cloud Build:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
--role="roles/cloudbuild.serviceAgent"
Substitua os valores dos marcadores de posição no comando pelo seguinte:
PROJECT_ID: o ID do projetoPROJECT_NUMBER: o número do projeto
O que se segue?
- Saiba mais sobre as contas de serviço especificadas pelo utilizador.
- Saiba mais sobre as contas de serviço.
- Saiba como configurar o acesso aos recursos do Cloud Build.
- Saiba mais sobre as autorizações necessárias para ver os registos de compilação.