Kontrol akses di Cloud Build dikontrol menggunakan Identity and Access Management (IAM). IAM memungkinkan Anda membuat dan mengelola izin untuk resource Google Cloud . Cloud Build menyediakan kumpulan peran IAM standar tertentu dengan setiap peran berisi kumpulan izin. Anda dapat menggunakan peran ini untuk memberikan akses yang lebih terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM memungkinkan Anda menerapkan prinsip keamanan dengan hak istimewa terendah, jadi Anda hanya memberikan akses yang diperlukan ke resource Anda.
Halaman ini menjelaskan peran dan izin Cloud Build.
Peran Cloud Build yang telah ditetapkan
Dengan IAM, setiap metode API di Cloud Build API mengharuskan identitas yang membuat permintaan API memiliki izin yang sesuai untuk menggunakan resource. Izin diberikan dengan menetapkan kebijakan yang memberikan peran kepada akun utama (pengguna, grup, atau akun layanan). Anda dapat memberikan beberapa peran kepada akun utama di resource yang sama.
Tabel di bawah mencantumkan peran IAM Cloud Build dan izin yang disertakan:
Peran | Deskripsi | Izin |
---|---|---|
Nama: roles/cloudbuild.builds.viewer Judul: Cloud Build Viewer |
Dapat melihat Cloud Build
resource |
cloudbuild.builds.get
|
Nama: roles/cloudbuild.builds.editor Judul: Cloud Build Editor |
Kontrol penuh atas Cloud Build
resource |
cloudbuild.builds.create
|
Nama: roles/cloudbuild.builds.approver Judul: Cloud Build Approver |
Memberikan akses untuk menyetujui atau
menolak build yang tertunda |
cloudbuild.builds.approve
|
Nama: roles/cloudbuild.builds.builder Judul: Akun Layanan Lama Cloud Build |
Saat Anda mengaktifkan Cloud Build API untuk project, akun layanan lama Cloud Build akan otomatis dibuat di project dan diberi peran ini untuk resource dalam project. Akun layanan lama Cloud Build hanya menggunakan peran ini karena diperlukan untuk melakukan tindakan saat menjalankan build Anda. |
Untuk mengetahui daftar izin yang dimuat oleh peran ini, , lihat Akun layanan Cloud Build. |
Nama: roles/cloudbuild.integrations.viewer Judul: Cloud Build Integrations Viewer |
Dapat melihat Cloud Build
koneksi host |
cloudbuild.integrations.get
|
Nama:roles/cloudbuild.integrations.editor Judul: Cloud Build Integrations Editor |
Mengedit kontrol Cloud Build
koneksi host |
cloudbuild.integrations.get
|
Nama:roles/cloudbuild.integrations.owner Judul: Pemilik Integrasi Cloud Build |
Kontrol penuh atas Cloud Build
koneksi host |
cloudbuild.integrations.create
|
Nama:roles/cloudbuild.connectionViewer Judul: Cloud Build Connection Viewer |
Dapat melihat dan mencantumkan koneksi
dan repositori |
resourcemanager.projects.get
|
Nama:roles/cloudbuild.connectionAdmin Judul: Admin Koneksi Cloud Build |
Dapat mengelola koneksi
dan repositori |
resourcemanager.projects.get
|
Name:roles/cloudbuild.readTokenAccessor Title: Cloud Build Read Only Token Accessor |
Dapat melihat koneksi, repositorinya,
dan mengakses token hanya baca mereka |
cloudbuild.connections.get
|
Nama:roles/cloudbuild.tokenAccessor Judul: Cloud Build Token Accessor |
Dapat melihat koneksi, repositorinya,
dan mengakses token hanya baca dan baca/tulis |
cloudbuild.connections.get
|
Nama: roles/cloudbuild.workerPoolOwner Judul: Pemilik WorkerPool Cloud Build |
Kontrol penuh atas kumpulan pribadi | cloudbuild.workerpools.create
|
Nama:roles/cloudbuild.workerPoolEditor Judul: Cloud Build WorkerPool Editor |
Dapat memperbarui kumpulan pribadi | cloudbuild.workerpools.get
|
Nama: roles/cloudbuild.workerPoolViewer Judul: Cloud Build WorkerPool Viewer |
Dapat melihat kumpulan pribadi | cloudbuild.workerpools.get
|
Nama: roles/cloudbuild.workerPoolUser Judul: Pengguna WorkerPool Cloud Build |
Dapat menjalankan build di kumpulan pribadi | cloudbuild.workerpools.use |
Selain peran bawaan Cloud Build di atas, peran Viewer, Editor, dan Pemilik dasar juga mencakup izin yang terkait dengan Cloud Build. Namun, sebaiknya Anda memberikan peran bawaan jika memungkinkan untuk mematuhi prinsip keamanan hak istimewa terendah.
Tabel di bawah mencantumkan peran dasar dan peran IAM Cloud Build yang disertakan.
Peran | mencakup peran |
---|---|
roles/viewer |
roles/cloudbuild.builds.viewer , roles/cloudbuild.integrations.viewer |
roles/editor |
roles/cloudbuild.builds.editor , roles/cloudbuild.integrations.editor |
roles/owner |
roles/cloudbuild.integrations.owner |
Izin
Tabel berikut mencantumkan izin yang harus dimiliki pemanggil untuk memanggil setiap metode:
Metode API | Izin yang diperlukan | Nama Peran |
---|---|---|
builds.create() triggers.create() triggers.patch() triggers.delete() triggers.run() |
cloudbuild.builds.create |
Cloud Build Editor |
builds.cancel() |
cloudbuild.builds.update |
Cloud Build Editor |
builds.get() triggers.get() |
cloudbuild.builds.get |
Cloud Build Editor, Cloud Build Viewer |
builds.list() triggers.list() |
cloudbuild.builds.list |
Cloud Build Editor, Cloud Build Viewer |
Izin untuk melihat log build
Untuk melihat log build, Anda memerlukan izin tambahan, bergantung pada apakah Anda menyimpan log build di bucket Cloud Storage default atau di bucket Cloud Storage yang ditentukan pengguna. Untuk informasi selengkapnya tentang izin yang diperlukan untuk melihat log build, lihat Menyimpan dan melihat log build.
Langkah selanjutnya
- Pelajari akun layanan Cloud Build.
- Pelajari cara mengonfigurasi akses ke resource Cloud Build.
- Pelajari cara mengonfigurasi akses untuk akun layanan Cloud Build.
- Pelajari IAM.