为项目启用Google Cloud Build服务时,将在项目中为两个服务帐户分配角色:
ID
2
被分配了[PROJECT-ID]@cloudbuild.gserviceaccount.com角色,并且在Cloud Build文档中被称为服务帐户,如果您需要构建以执行功能,则要向其授予其他权限例如部署到AppEngine或Cloud Functions。
Cloud Build Service Account实际上被命名为“ Cloud Build Service Account”,并在您的项目中被授予service-[PROJECT-ID]@gcp-sa-cloudbuild.iam.gserviceaccount.com角色。
不幸的是,对于后一个服务帐户,我找不到任何文档。我假设这是实际触发构建的帐户,而另一个由运行中的构建本身使用。
那么准确吗?
答案 0 :(得分:2)
任何在服务帐户说明中带有“代理”的服务都应保留。该服务使用这些服务帐户来授权其需要运行的Google Cloud服务。这些服务帐户由Google Cloud拥有/管理/控制。如果您从此服务帐户中删除权限,则该服务通常会中断(停止正常运行)。
Cloud Build Service代理有权在需要运行的项目中管理/创建Google Cloud中的资源。 link提供了这些权限的文档。
答案 1 :(得分:0)
根据官方文档Understanding roles:
Cloud Build Service帐户可以执行构建
Cloud Build Service Agent(Alpha)使Cloud Build Service帐户可以访问托管资源