如何从proj-2 CloudBuild访问proj-1秘密管理器？

Question

我所有的GCP容器都在my-dev-project上使用my-dev-project，并在同一个项目(my-dev-project)上访问secret manager。但是，一个项目需要访问secrets manger on my-prod-project。我想我需要添加一个服务帐户，但是当CloudBuild已经拥有my-dev-project服务帐户时，我不知道如何为它这样做。

问题：如何从my-dev-project CloudBuild访问my-prod-project secret manger

Answer 1

您可以通过my-dev-project对my-prod-project中的秘密授予云构建服务帐户。从IAM控制台从my-dev-project获取服务帐户的电子邮件地址；格式如下：

project-number@@cloudbuild.gserviceaccount.com

在my-prod-project中，找到您希望授予访问权限的秘密，添加具有秘密访问器权限的电子邮件。