我正在开发一项新的 CI 服务 (SaaS),并计划使用 Google Cloud Build 来实际执行构建。cloudbuild 服务帐户必须有权访问各种 GCP 服务(存储桶、数据存储等)。但在其中一个步骤中,它还运行不受信任的(即用户提供的)代码。我的问题:有没有办法锁定 cloudbuild.yml 配方中的各个步骤以无法访问 GCP?理想情况下,该步骤只能访问文件系统和公共 Internet(以下载外部依赖项),而不能访问其他任何内容。
我正在开发一项新的 CI 服务 (SaaS),并计划使用 Google Cloud Build 来实际执行构建。cloudbuild 服务帐户必须有权访问各种 GCP 服务(存储桶、数据存储等)。但在其中一个步骤中,它还运行不受信任的(即用户提供的)代码。我的问题:有没有办法锁定 cloudbuild.yml 配方中的各个步骤以无法访问 GCP?理想情况下,该步骤只能访问文件系统和公共 Internet(以下载外部依赖项),而不能访问其他任何内容。