Embedded Files
Informamos que o comportamento das contas de serviço usadas por padrão em novos projetos do Cloud Build vai mudar a partir de 29 de abril de 2024. Essa mudança serve para melhorar a postura de segurança padrão dos clientes.
O que você precisa saber?
O que você precisa saber?
O Cloud Build usa contas de serviço para fazer autenticações em outros serviços.
Para melhorar a postura de segurança padrão dos clientes, o Cloud Build vai mudar a conta de serviço usada por padrão, ou seja, quando os usuários não especificarem a própria conta. De agora em diante, o produto também vai exigir que todos os gatilhos especifiquem explicitamente uma conta de serviço.
Essa mudança vai afetar os projetos quando o Cloud Build for ativado pela primeira vez.
O que você precisa fazer?
O que você precisa fazer?
Ação necessária: avalie se você pode usar a conta de serviço padrão do Cloud Build para builds enviados diretamente ou acionados por gatilho.
Se você quiser executar um build enviado diretamente sem especificar uma conta de serviço de maneira explícita, verifique se a opção padrão do Compute Engine é suficiente para seus builds. Todos os usuários que enviarem um build diretamente pela gcloud ou pela API CreateBuild vão precisar da permissão iam.serviceAccounts.actAs na conta de serviço usada no build.
Você precisará especificar explicitamente uma conta de serviço em todos os gatilhos de novos projetos, seja a conta de serviço padrão do Compute Engine ou outra que você criar ou tiver. Os gatilhos não serão mais executados sem uma conta de serviço especificada explicitamente.
Se quiser manter o comportamento legado do Cloud Build e entender as implicações de segurança dessa ação, mude os padrões da nova política da organização.
Usuários do Cloud Functions: as funções dos projetos atuais não serão afetadas. As funções dos novos projetos terão a política da organização ativada e vão usar a conta de serviço padrão do Compute Engine. Confirme se a conta de serviço padrão do Compute tem as permissões necessárias para implantar uma função.
Usuários do Cloud Composer: os ambientes (mesmo os recém-criados) dos projetos atuais não serão afetados. Os ambientes dos novos projetos terão a política organizacional ativada e vão usar a conta de serviço do ambiente no Cloud Build por padrão. As pessoas que usarem uma opção personalizada precisarão verificar se a conta de serviço tem o papel de "Usuário da conta de serviço". Confira mais informações neste link.
Para saber mais, acesse Mudança nas contas de serviço padrão do Cloud (em inglês).
Nós estamos aqui para ajudar
Se você tiver alguma dúvida ou precisar de ajuda, envie um e-mail para growth@santodigital.com.br
Page updated
Report abuse