Peran dan izin IAM

Kontrol akses di Cloud Build dikontrol menggunakan Identity and Access Management (IAM). IAM memungkinkan Anda membuat dan mengelola izin untuk resource Google Cloud. Cloud Build menyediakan sekumpulan peran IAM bawaan tertentu dengan setiap peran berisi serangkaian izin. Anda dapat menggunakan peran ini untuk memberikan akses yang lebih terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM memungkinkan Anda menerapkan prinsip keamanan dengan hak istimewa terendah, sehingga Anda hanya memberikan akses yang diperlukan ke resource Anda.

Halaman ini menjelaskan peran dan izin Cloud Build.

Peran Cloud Build yang telah ditetapkan

Dengan IAM, setiap metode API di Cloud Build API mengharuskan identitas yang membuat permintaan API memiliki izin yang sesuai untuk menggunakan resource. Izin diberikan dengan menetapkan kebijakan yang memberikan peran ke akun utama (pengguna, grup, atau akun layanan). Anda dapat memberikan beberapa peran ke akun utama di resource yang sama.

Tabel di bawah ini mencantumkan peran Cloud Build IAM dan izin yang disertakan:

Peran	Deskripsi	Izin
Nama: `roles/cloudbuild.builds.viewer` Judul: Cloud Build Viewer	Dapat melihat Cloud Build resource	`cloudbuild.builds.get` `cloudbuild.builds.list` `remotebuildexecution.blobs.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama: `roles/cloudbuild.builds.editor` Judul: Cloud Build Editor	Kontrol penuh atas Cloud Build resource	`cloudbuild.builds.create` `cloudbuild.builds.get` `cloudbuild.builds.list` `cloudbuild.builds.update` `remotebuildexecution.blobs.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama: `roles/cloudbuild.builds.approver` Judul: Pemberi Persetujuan Cloud Build	Berikan akses untuk menyetujui atau tolak build yang tertunda	`cloudbuild.builds.approve` `cloudbuild.builds.get` `cloudbuild.builds.list` `remotebuildexecution.blobs.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama: `roles/cloudbuild.builds.builder` Judul: Akun Layanan Cloud Build	Saat Anda mengaktifkan Cloud Build API untuk sebuah project, akun layanan Cloud Build akan otomatis dibuat di project dan diberi peran ini untuk resource dalam project tersebut. Akun layanan Cloud Build hanya menggunakan peran ini sebagai yang diperlukan untuk melakukan tindakan saat menjalankan build Anda.	Untuk mengetahui daftar izin yang terdapat dalam peran ini, lihat Akun layanan Cloud Build.
Nama: `roles/cloudbuild.integrations.viewer` Judul: Cloud Build Integrations Viewer	Dapat melihat Cloud Build koneksi host	`cloudbuild.integrations.get` `cloudbuild.integrations.list` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama:`roles/cloudbuild.integrations.editor` Judul: Editor Integrasi Cloud Build	Edit kontrol Cloud Build koneksi host	`cloudbuild.integrations.get` `cloudbuild.integrations.list` `cloudbuild.integrations.update` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama:`roles/cloudbuild.integrations.owner` Judul: Pemilik Integrasi Cloud Build	Kontrol penuh atas Cloud Build koneksi host	`cloudbuild.integrations.create` `cloudbuild.integrations.delete` `cloudbuild.integrations.get` `cloudbuild.integrations.list` `cloudbuild.integrations.update` `compute.firewalls.create` `compute.firewalls.get` `compute.firewalls.list` `compute.networks.get` `compute.networks.updatePolicy` `compute.regions.get` `compute.subnetworks.get` `compute.subnetworks.list` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama:`roles/cloudbuild.connectionViewer` Judul: Viewer Koneksi Cloud Build	Dapat melihat dan membuat daftar koneksi dan repositori	`resourcemanager.projects.get` `resourcemanager.projects.list` `cloudbuild.connections.get` `cloudbuild.connections.fetchLinkableRepositories` `cloudbuild.connections.list` `cloudbuild.connections.getIamPolicy` `cloudbuild.repositories.get` `cloudbuild.repositories.list`
Nama:`roles/cloudbuild.connectionAdmin` Judul: Admin Koneksi Cloud Build	Dapat mengelola koneksi dan repositori	`resourcemanager.projects.get` `resourcemanager.projects.list` `cloudbuild.connections.get` `cloudbuild.connections.fetchLinkableRepositories` `cloudbuild.connections.list` `cloudbuild.connections.create` `cloudbuild.connections.update` `cloudbuild.connections.delete` `cloudbuild.connections.getIamPolicy` `cloudbuild.connections.setIamPolicy` `cloudbuild.repositories.get` `cloudbuild.repositories.list` `cloudbuild.repositories.create` `cloudbuild.repositories.delete`
Nama:`roles/cloudbuild.readTokenAccessor` Judul: Aksesor Token Hanya Baca Cloud Build	Dapat melihat koneksi, repositorinya, dan mengakses token hanya baca	`cloudbuild.connections.get` `cloudbuild.repositories.get` `cloudbuild.repositories.accessReadToken`
Nama:`roles/cloudbuild.tokenAccessor` Judul: Aksesor Token Cloud Build	Dapat melihat koneksi, repositorinya, serta mengakses token hanya-baca dan baca/tulis mereka	`cloudbuild.connections.get` `cloudbuild.repositories.get` `cloudbuild.repositories.accessReadToken` `cloudbuild.repositories.accessReadWriteToken`
Nama: `roles/cloudbuild.workerPoolOwner` Judul: Pemilik Cloud Build WorkerPool	Kontrol penuh atas kolam renang pribadi	`cloudbuild.workerpools.create` `cloudbuild.workerpools.delete` `cloudbuild.workerpools.get` `cloudbuild.workerpools.list` `cloudbuild.workerpools.update` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama:`roles/cloudbuild.workerPoolEditor` Judul: Cloud Build WorkerPool Editor	Dapat memperbarui kolam renang pribadi	`cloudbuild.workerpools.get` `cloudbuild.workerpools.list` `cloudbuild.workerpools.update` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama: `roles/cloudbuild.workerPoolViewer` Judul: Cloud Build WorkerPool Viewer	Dapat melihat kolam renang pribadi	`cloudbuild.workerpools.get` `cloudbuild.workerpools.list` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama: `roles/cloudbuild.workerPoolUser` Judul: Pengguna WorkerPool Cloud Build	Dapat menjalankan build di kolam renang pribadi	`cloudbuild.workerpools.use`

Selain peran Cloud Build yang telah ditetapkan di atas, peran Viewer, Editor, dan Pemilik dasar juga mencakup izin yang terkait dengan Cloud Build. Namun, sebaiknya Anda memberikan peran yang telah ditetapkan jika memungkinkan untuk mematuhi prinsip keamanan hak istimewa terendah.

Tabel di bawah ini mencantumkan peran dasar dan peran IAM Cloud Build yang disertakan.

Peran	sertakan peran
`roles/viewer`	`roles/cloudbuild.builds.viewer`, `roles/cloudbuild.integrations.viewer`
`roles/editor`	`roles/cloudbuild.builds.editor`, `roles/cloudbuild.integrations.editor`
`roles/owner`	`roles/cloudbuild.integrations.owner`

Izin

Tabel berikut mencantumkan izin yang harus dimiliki pemanggil untuk memanggil setiap metode:

Metode API	Izin yang diperlukan	Nama Peran
`builds.create()` `triggers.create()` `triggers.patch()` `triggers.delete()` `triggers.run()`	`cloudbuild.builds.create`	Cloud Build Editor
`builds.cancel()`	`cloudbuild.builds.update`	Cloud Build Editor
`builds.get()` `triggers.get()`	`cloudbuild.builds.get`	Cloud Build Editor, Cloud Build Viewer
`builds.list()` `triggers.list()`	`cloudbuild.builds.list`	Cloud Build Editor, Cloud Build Viewer

Izin untuk melihat log build

Untuk melihat log build, Anda memerlukan izin tambahan, bergantung pada apakah Anda menyimpan log build di bucket Cloud Storage default atau di bucket Cloud Storage yang ditentukan pengguna. Untuk mengetahui informasi selengkapnya tentang izin yang diperlukan untuk melihat log build, lihat Menyimpan dan melihat log build.

Langkah selanjutnya

Pelajari akun layanan Cloud Build.
Pelajari cara mengonfigurasi akses ke resource Cloud Build.
Pelajari cara mengonfigurasi akses untuk akun layanan Cloud Build.
Pelajari tentang IAM.