Embedded Files
Estamos escrevendo para informar que o Cloud Build começará a mudar o comportamento das contas de serviço usadas por padrão para novos projetos em 29 de abril de 2024 . Essa alteração tem como objetivo melhorar a postura de segurança padrão dos clientes.
O que você precisa saber?
O que você precisa saber?
O Cloud Build usa contas de serviço para autenticação com outros serviços.
Para melhorar a postura de segurança padrão de seus clientes, a Cloud Build alterará a conta de serviço usada por padrão, ou seja, quando um usuário não especifica sua própria conta de serviço. O Cloud Build também exigirá que todos os gatilhos especifiquem explicitamente uma conta de serviço daqui para frente.
Essa mudança afeta os projetos quando o Cloud Build é ativado pela primeira vez.
O que você precisa fazer?
O que você precisa fazer?
Ação necessária: avalie se você depende da conta de serviço padrão do Cloud Build para builds enviados ou acionados diretamente.
Se você quiser executar um build enviado diretamente sem especificar explicitamente uma conta de serviço, valide se a conta de serviço padrão do Compute Engine é suficiente para seus builds. Todos os usuários que enviarem um build diretamente por meio da API gcloud ou CreateBuild precisarão da permissão iam.serviceAccounts.actAs na conta de serviço usada no build.
Você precisará especificar explicitamente uma conta de serviço para todos os acionadores em novos projetos, seja a conta de serviço padrão do Compute Engine ou uma conta que você cria e possui. Os gatilhos não serão mais executados sem uma conta de serviço explícita.
Se preferir manter o comportamento legado do Cloud Build e entender as compensações de segurança envolvidas, você poderá fazer isso alterando os padrões da nova política da organização.
Usuários do Cloud Functions: as funções em projetos existentes não são afetadas. As funções em novos projetos terão a política organizacional habilitada e usarão a conta de serviço padrão do Compute Engine por padrão. Você deve garantir que a conta de serviço de computação padrão tenha as permissões necessárias para implantar uma função.
Usuários do Cloud Composer: os ambientes (mesmo os recém-criados) em projetos existentes não são afetados. Os ambientes em novos projetos terão a política organizacional ativada e usarão a conta de serviço de ambiente no Cloud Build por padrão. Se você estiver usando uma conta de serviço personalizada, verifique se ela possui a função de usuário da conta de serviço . Mais informações podem ser encontradas aqui .
Se quiser saber mais sobre essas alterações, visite Alteração da conta do serviço padrão da nuvem .
Nós estamos aqui para ajudar
Nós estamos aqui para ajudar
Se você tiver alguma dúvida ou precisar de ajuda, envie um e-mail para growth@santodigital.com.br
Page updated
Report abuse