В чем разница между учетной записью службы Cloud Build и агентом службы?

Question

При включении службы Google Cloud Build для проекта двум учетным записям служб назначаются роли в проекте:

• [PROJECT-ID]@cloudbuild.gserviceaccount.com назначается роль Cloud Build Service Account иупоминается в документации Cloud Build как учетная запись службы, которой вы хотите предоставить дополнительные разрешения, если вам нужны сборки для выполнения таких функций, как развертывание в AppEngine или Cloud Functions.

• service-[PROJECT-ID]@gcp-sa-cloudbuild.iam.gserviceaccount.com на самом деле называется «Учетная запись службы Cloud Build» и ей предоставляется роль Cloud Build Service Agent в вашем проекте.

К сожалению, для этой последней учетной записи службы я не могу найти документацию. Я предполагаю, что это учетная запись, которая фактически запускает сборки, тогда как другая используется самими запущенными сборками.

Это точно?

Answer 1

Любая служба, в которой есть «Агент» в описании учетной записи службы, должна оставаться одна. Эти учетные записи службы используются службой для авторизации в облачных службах Google, необходимых для работы. Эти сервисные учетные записи принадлежат / управляются / контролируются Google Cloud. Если вы удаляете разрешения для этой учетной записи службы, служба обычно прерывается (перестает работать правильно).

Агент службы Cloud Build имеет разрешения на управление / создание ресурсов в Google Cloud в вашем проекте, которые ему необходимы для работы. Эта ссылка предоставляет документацию для этих разрешений.

Answer 2

Согласно официальной документации Понимание ролей :

Учетная запись службы Cloud Build может выполнять сборки

Агент службы Cloud Build (Alpha) предоставляет учетную запись службы Cloud Buildдоступ к управляемым ресурсам