cloudbuild

Kwa habari zaidi kuhusu Cloud Build angalia:

cloudbuild.builds.create

Kwa kibali hiki unaweza kuwasilisha ujenzi wa wingu. Mashine ya cloudbuild itakuwa na nakala ya siri ya Akaunti ya Huduma ya cloudbuild kwenye mfumo wake wa faili kwa chaguo-msingi: <PROJECT_NUMBER>@cloudbuild.gserviceaccount.com. Walakini, unaweza kuonyesha akaunti yoyote ya huduma ndani ya mradi katika usanidi wa cloudbuild. Kwa hivyo, unaweza tu kufanya mashine itume siri kwenda kwenye seva yako au pata kabati la kurudi ndani yake na jipatie siri (faili inayohifadhi siri inaweza kubadilika).

Unaweza kupata skripti ya kudukua ya awali hapa kwenye GitHub (lakini eneo linachochukua siri kutoka halikufanya kazi kwangu). Kwa hivyo, angalia skripti ya kiotomatiki ujenzi, kudukua na kusafisha mazingira hatarishi hapa na skripti ya python kupata kabati la kurudi ndani ya mashine ya cloudbuild na ulibebe hapa (kwenye nambari unaweza kupata jinsi ya kubainisha akaunti zingine za huduma).

Kwa maelezo zaidi, tembelea https://rhinosecuritylabs.com/gcp/iam-privilege-escalation-gcp-cloudbuild/

cloudbuild.builds.update

Kwa uwezekano na kibali hiki unaweza kuboresha ujenzi wa wingu na tuibebe kabati la siri la akaunti ya huduma kama ilivyofanywa na kibali kilichotangulia (lakini kwa bahati mbaya wakati wa kuandika hii sikuweza kupata njia yoyote ya kuita API hiyo).

TODO

cloudbuild.repositories.accessReadToken

Kwa kibali hiki mtumiaji anaweza kupata kabati la ufikiaji wa kusoma linalotumiwa kupata ufikiaji wa hifadhi:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{}' \
"https://cloudbuild.googleapis.com/v2/projects/<PROJECT_ID>/locations/<LOCATION>/connections/<CONN_ID>/repositories/<repo-id>:accessReadToken"