标签: google-cloud-build
目前,我认为任何在GCB中作为步骤运行的docker容器都可以列出,获取构建信息(甚至是秘密环境),可以使用KMS密钥解密秘密并可以访问任何GCS存储桶。
我们可以删除那些角色吗? (或限制访问控制。)