我的所有GCP容器都在my-dev-project上使用CloudBuild,并访问同一项目(my-dev-project(上的secret manager。但是,一个项目需要访问my-prod-project上的secrets manger。我想我需要添加一个服务帐户,但我不确定如何在CloudBuild已经有my-dev-project服务帐户的情况下为其添加服务帐户。
问题:如何从my-dev-projectCloudBuild访问my-prod-projectsecret manger?
您可以从my-dev-project授予Cloud Build服务帐户对my-prod-project中的机密的权限。从IAM控制台的my-dev-project获取服务帐户的电子邮件地址;它将采用以下格式:
project-number@@cloudbuild.gserviceaccount.com
在my-prod-project中,找到您希望授予访问权限的秘密,添加具有秘密访问权限的电子邮件。