Il controllo dell'accesso in Cloud Build viene controllato utilizzando Identity and Access Management (IAM). IAM consente di creare e gestire delle autorizzazioni per le risorse Google Cloud. Cloud Build fornisce un modello insieme di ruoli IAM predefiniti in cui ogni ruolo contiene un insieme di autorizzazioni. Puoi usare questi ruoli per assegnare un accesso più granulare a specifiche risorse Google Cloud e prevenire ad altre risorse. IAM consente di adottare principio di sicurezza del privilegio minimo, in modo da concedere solo l'accesso necessario alle tue risorse.
In questa pagina vengono descritti i ruoli e le autorizzazioni di Cloud Build.
Ruoli predefiniti di Cloud Build
Con IAM, ogni metodo dell'API Cloud Build richiede che l'identità che effettua la richiesta dell'API disponga delle autorizzazioni appropriate per utilizzare la risorsa. Le autorizzazioni vengono concesse impostando criteri che assegnano i ruoli a un'entità (utente, gruppo o account di servizio). Puoi concedere più ruoli a un dell'entità sulla stessa risorsa.
La tabella seguente elenca i ruoli IAM di Cloud Build le autorizzazioni che includono:
Ruolo | Descrizione | Autorizzazioni |
---|---|---|
Nome: roles/cloudbuild.builds.viewer Titolo: Visualizzatore Cloud Build |
Può visualizzare Cloud Build
risorse |
cloudbuild.builds.get
|
Nome: roles/cloudbuild.builds.editor Titolo: Editor Cloud Build |
Controllo completo di Cloud Build
risorse |
cloudbuild.builds.create
|
Nome: roles/cloudbuild.builds.approver Titolo: Approvatore Cloud Build |
Fornisci l'accesso per approvare o
Rifiutare le build in attesa |
cloudbuild.builds.approve
|
Nome: roles/cloudbuild.builds.builder Titolo: Account di servizio legacy di Cloud Build |
Quando attivi API Cloud Build per un progetto, l'account di servizio legacy di Cloud Build viene creato automaticamente nel progetto e gli viene concesso questo ruolo per le risorse nel progetto. Cloud Build l'account di servizio precedente utilizza questo ruolo solo come necessaria per eseguire azioni quando che esegue la build. |
Per un elenco di autorizzazioni contenuti in questo ruolo, consulta Account di servizio Cloud Build. |
Nome: roles/cloudbuild.integrations.viewer Titolo: Visualizzatore integrazioni Cloud Build |
Può visualizzare Cloud Build
connessioni host |
cloudbuild.integrations.get
|
Nome:roles/cloudbuild.integrations.editor Titolo: Editor integrazioni di Cloud Build |
Controllo delle modifiche di Cloud Build
connessioni host |
cloudbuild.integrations.get
|
Nome:roles/cloudbuild.integrations.owner Titolo: Proprietario integrazioni Cloud Build |
Controllo completo di Cloud Build
Connessioni host |
cloudbuild.integrations.create
|
Nome:roles/cloudbuild.connectionViewer Titolo: Visualizzatore delle connessioni Cloud Build |
Può visualizzare ed elencare le connessioni
e repository |
resourcemanager.projects.get
|
Nome:roles/cloudbuild.connectionAdmin Titolo: Amministratore connessioni Cloud Build |
Può gestire le connessioni
e repository |
resourcemanager.projects.get
|
Nome:roles/cloudbuild.readTokenAccessor Titolo: Funzione di accesso a token di sola lettura di Cloud Build |
Può visualizzare la connessione, i suoi repository
e accedere al proprio token di sola lettura |
cloudbuild.connections.get
|
Nome:roles/cloudbuild.tokenAccessor Titolo: Funzione di accesso a token di Cloud Build |
Può visualizzare la connessione, i suoi repository
e accedere al proprio token di sola lettura e di lettura/scrittura |
cloudbuild.connections.get
|
Nome: roles/cloudbuild.workerPoolOwner Titolo: Proprietario WorkerPool di Cloud Build |
Controllo completo della piscina privata | cloudbuild.workerpools.create
|
Nome:roles/cloudbuild.workerPoolEditor Titolo: Editor WorkerPool di Cloud Build |
Può aggiornare i pool privati | cloudbuild.workerpools.get
|
Nome: roles/cloudbuild.workerPoolViewer Titolo: Visualizzatore WorkerPool di Cloud Build |
Può visualizzare i pool privati | cloudbuild.workerpools.get
|
Nome: roles/cloudbuild.workerPoolUser Titolo: Utente pool di worker di Cloud Build |
Può eseguire build nel pool privato | cloudbuild.workerpools.use |
Oltre ai ruoli predefiniti di Cloud Build sopra indicati, i ruoli di base Visualizzatore, Editor e Proprietario includono anche le autorizzazioni relative a Cloud Build. Tuttavia, ti consigliamo di concedere ruoli predefiniti, se possibile, per rispettare il principio di sicurezza del privilegio minimo.
La tabella seguente elenca i ruoli di base e Cloud Build Ruoli IAM che includono.
Ruolo | include il ruolo |
---|---|
roles/viewer |
roles/cloudbuild.builds.viewer , roles/cloudbuild.integrations.viewer |
roles/editor |
roles/cloudbuild.builds.editor , roles/cloudbuild.integrations.editor |
roles/owner |
roles/cloudbuild.integrations.owner |
Autorizzazioni
Nella tabella seguente sono elencate le autorizzazioni che il chiamante deve avere per chiamare ciascun metodo:
Metodo API | Autorizzazione richiesta | Titolo del ruolo |
---|---|---|
builds.create() triggers.create() triggers.patch() triggers.delete() triggers.run() |
cloudbuild.builds.create |
Cloud Build Editor |
builds.cancel() |
cloudbuild.builds.update |
Cloud Build Editor |
builds.get() triggers.get() |
cloudbuild.builds.get |
Editor Cloud Build, Visualizzatore Cloud Build |
builds.list() triggers.list() |
cloudbuild.builds.list |
Editor Cloud Build, Visualizzatore Cloud Build |
Autorizzazioni per visualizzare i log di build
Per visualizzare i log di build, sono necessarie autorizzazioni aggiuntive a seconda che stai archiviando i log di build nel bucket Cloud Storage predefinito o in un bucket Cloud Storage specificato dall'utente. Per ulteriori informazioni sulle autorizzazioni per visualizzare i log di build, consulta Archiviazione e visualizzazione dei log di build.
Passaggi successivi
- Scopri di più sul service account Cloud Build.
- Scopri come configurare l'accesso alle risorse Cloud Build.
- Scopri come configurare l'accesso per l'account di servizio Cloud Build.
- Scopri di più su IAM.