如何程序化添加角色到云构建服务账号？

Question

我正在尝试为云构建服务帐户@cloudbuild.gserviceaccount.com使用setIAMPolicy。我想为云构建服务成员提供AppEngine管理员，云运行管理员权限，以便它可以在AppEngine上进行自动发布。

当我在获取IAM策略时传递云构建服务帐户的资源时，不知何故抛出了404。为了确认，我尝试在API Explorer中获取https://iam.googleapis.com/v1/{name=projects/*}/serviceAccounts，但它也没有返回Google托管服务帐户。它似乎只返回创建的服务帐户，而不是Google管理的默认帐户。

如何设置IAM策略将这些权限授予Cloud Build？

Answer 1

一般的想法是同时为App Engine和Cloud Run启用这些权限。

此外，一个常见的问题是不知道App Engine和Cloud build需要cron权限。例如，this文章提到"Update cron schedules“作为"App Engine Admin”的"No“。你是否需要它取决于你的构建是如何完成的。如果你最终也需要这样做，在你的@cloudbuild.gserviceaccount.com上使用"Cloud Scheduler Admin“权限。您可以将相同的逻辑应用于其他权限，that图表可能有助于根据您的设置了解所需的权限。