В чем разница между учетной записью службы Cloud Build и агентом службы?

Когда вы включаете сервис Google Cloud Build для проекта, двум сервисным аккаунтам назначаются роли в проекте:

  • [PROJECT-ID]@cloudbuild.gserviceaccount.com назначается Cloud Build Service Account роль, и в документации Cloud Build она называется учетной записью службы, которой вы хотите предоставить дополнительные разрешения, если вам нужны сборки для выполнения таких функций, как развертывание в AppEngine или Cloud Functions.

  • service-[PROJECT-ID]@gcp-sa-cloudbuild.iam.gserviceaccount.com на самом деле называется «Учетная запись службы Cloud Build» и получает Cloud Build Service Agent роль в вашем проекте.

К сожалению, для этой последней служебной учетной записи я не могу найти документации. Я предполагаю, что это учетная запись, которая фактически запускает сборки, тогда как другая используется самими запущенными сборками.

Это точно?


google-cloud-build google-cloud-platform google-cloud-iam
person numbsafari    schedule 07.11.2019    source источник

Ответы (2)


arrow_upward
2
arrow_downward

Любую службу, в описании учетной записи которой есть «Агент», следует оставить в покое. Эти учетные записи службы используются службой для авторизации в службах Google Cloud, необходимых для работы. Эти сервисные аккаунты принадлежат / управляются / контролируются Google Cloud. Если вы удалите разрешения из этой учетной записи службы, служба обычно ломается (перестает правильно работать).

Агент сервиса Cloud Build имеет разрешения на управление / создание ресурсов в Google Cloud в вашем проекте, которые ему необходимы для работы. Эта ссылка предоставляет документацию по этим разрешениям.

person John Hanley    schedule 07.11.2019

arrow_upward
1
arrow_downward

Согласно официальной документации Понимание ролей:

Учетная запись службы Cloud Build может выполнять сборки

Агент службы Cloud Build (Alpha) предоставляет учетной записи службы Cloud Build доступ к управляемым ресурсам.

person marian.vladoi    schedule 07.11.2019