Bei Quellbereitstellungen nutzt Cloud Run Cloud Build zum Erstellen und Bereitstellen Ihres Cloud Run-Dienstes.
Auf dieser Seite erfahren Sie, wie Sie ein benutzerdefiniertes Dienstkonto für Cloud Build festlegen, das beim Ausführen von Builds des Dienstes in Ihrem Namen verwendet werden soll.
Dieser Leitfaden richtet sich an Plattformentwickler, die Cloud Run-Dienste oder Funktionen mit der Google Cloud CLI bereitstellen und das von Cloud Build verwendete Build-Dienstkonto anpassen müssen. Das gcloud CLI-Flag für das Konto des Build-Dienstes wird für Bereitstellungen von Quellcode (--source) unterstützt, aber nicht für Bereitstellungen von Container-Images (--image).
Hinweise
Aktivieren Sie die Cloud Build API
gcloud services enable cloudbuild.googleapis.com
Erstellen Sie ein Dienstkonto oder verwenden Sie ein vorhandenes Dienstkonto, das als Cloud Build-Dienstkonto verwendet werden soll.
Erforderliche Rollen
Sie oder Ihr Administrator müssen dem Bereitstellerkonto und dem Cloud Build-Dienstkonto die folgenden IAM-Rollen zuweisen.
Klicken, um die erforderlichen Rollen für das Bereitstellerkonto aufzurufen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen und Bereitstellen aus der Quelle benötigen:
- Cloud Run Source Developer (
roles/run.sourceDeveloper) in Ihrem Projekt - Service Usage-Nutzer (
roles/serviceusage.serviceUsageConsumer) für Ihr Projekt - Dienstkontonutzer (
roles/iam.serviceAccountUser) für die Cloud Run-Dienstidentität
Klicken Sie, um die erforderlichen Rollen für das Cloud Build-Dienstkonto aufzurufen.
Damit das Cloud Build-Dienstkonto den Build ausführen kann, wenn eine Funktion bereitgestellt wird, bitten Sie Ihren Administrator, dem Cloud Build-Dienstkonto im Projekt die Rolle Cloud Run Builder (roles/run.builder) zu erteilen.
Eine Liste der IAM-Rollen und -Berechtigungen im Zusammenhang mit Cloud Run finden Sie unter IAM-Rollen für Cloud Run und IAM-Berechtigungen für Cloud Run. Wenn Ihr Cloud Run-Dienst mitGoogle Cloud APIs wie Cloud-Clientbibliotheken verknüpft ist, lesen Sie die Konfigurationsanleitung für Dienstidentitäten. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Bereitstellungsberechtigungen und Zugriff verwalten.
Cloud Build-Dienstkonto angeben
Wenn beim Bereitstellen eines Dienstes oder einer Funktion aus der Quelle kein Cloud Build-Dienstkonto angegeben wird, verwendet Cloud Build standardmäßig das Cloud Build-Standarddienstkonto.
Um das Prinzip der geringsten Berechtigung anzuwenden und die Sicherheit Ihres Dienstes zu verbessern, empfehlen wir Ihnen, Ihr eigenes Dienstkonto anzugeben, um Ihre Builds auszuführen, wenn Sie einen Dienst aus der Quelle bereitstellen.
gcloud
Wenn Sie das Cloud Build-Dienstkonto beim Bereitstellen eines Dienstes aus dem Quellcode angeben möchten, verwenden Sie das Flag --build-service-account:
gcloud run deploy SERVICE \ --source . \ --build-service-account projects/PROJECT_ID/serviceAccounts/BUILD_SERVICE_ACCOUNT
Ersetzen Sie:
- SERVICE durch den Namen Ihres Cloud Run-Dienstes.
- PROJECT_ID die Projekt-ID, unter der das Build-Dienstkonto erstellt wird.
- BUILD_SERVICE_ACCOUNT durch ein vom Nutzer angegebenes Dienstkonto.
Wenn Sie eine Funktion bereitstellen, fügen Sie das Flag --function mit dem Funktionseinstiegspunkt aus Ihrem Quellcode hinzu.