Il controllo dell'accesso in Cloud Build viene gestito utilizzando Identity and Access Management (IAM). IAM ti consente di creare e gestire le autorizzazioni per le risorse Google Cloud . Cloud Build fornisce un insieme specifico di ruoli IAM predefiniti in cui ogni ruolo contiene un insieme di autorizzazioni. Puoi utilizzare questi ruoli per concedere un accesso più granulare a risorse specifiche di Google Cloud e impedire l'accesso indesiderato ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo il livello di accesso necessario per le tue risorse.
Questa pagina descrive i ruoli e le autorizzazioni di Cloud Build.
Ruoli Cloud Build predefiniti
Con IAM, ogni metodo dell'API Cloud Build richiede che l'identità che effettua la richiesta dell'API disponga delle autorizzazioni appropriate per utilizzare la risorsa. Le autorizzazioni vengono concesse impostando criteri che assegnano ruoli a un'entità (utente, gruppo o account di servizio). Puoi concedere più ruoli a un principale nella stessa risorsa.
La tabella seguente elenca i ruoli IAM di Cloud Build e le autorizzazioni che includono:
| Ruolo | Descrizione | Autorizzazioni |
|---|---|---|
Nome: roles/cloudbuild.builds.viewer Titolo: Visualizzatore Cloud Build |
Può visualizzare Cloud Build
risorse |
cloudbuild.builds.get
|
Nome: roles/cloudbuild.builds.editor Titolo: Editor di Cloud Build |
Controllo completo di Cloud Build
risorse |
cloudbuild.builds.create
|
Nome: roles/cloudbuild.builds.approver Titolo: Approvatore Cloud Build |
Fornire l'accesso per approvare o
Rifiutare le build in attesa |
cloudbuild.builds.approve
|
Nome: roles/cloudbuild.builds.builder Titolo: Account di servizio legacy Cloud Build |
Quando attivi l' API Cloud Build per un progetto, l'account di servizio Cloud Build precedente viene creato automaticamente nel progetto e a questo viene concesso questo ruolo per le risorse nel progetto. L'account di servizio legacy Cloud Build utilizza questo ruolo solo se necessario per eseguire azioni durante l'esecuzione della build. |
Per un elenco delle autorizzazioni contenute in questo ruolo, consulta Account di servizio Cloud Build. |
Nome: roles/cloudbuild.integrations.viewer Titolo: Cloud Build Integrations Viewer |
Può visualizzare Cloud Build
Connessioni host |
cloudbuild.integrations.get
|
Nome:roles/cloudbuild.integrations.editor Titolo: Cloud Build Integrations Editor |
Controllo delle modifiche di Cloud Build
Connessioni host |
cloudbuild.integrations.get
|
Nome:roles/cloudbuild.integrations.owner Titolo: Cloud Build Integrations Owner |
Controllo completo di Cloud Build
Connessioni host |
cloudbuild.integrations.create
|
Nome:roles/cloudbuild.connectionViewer Titolo: Visualizzatore delle connessioni Cloud Build |
Può visualizzare ed elencare le connessioni
e repository |
resourcemanager.projects.get
|
Nome:roles/cloudbuild.connectionAdmin Titolo: Cloud Build Connection Admin |
Può gestire le connessioni
e repository |
resourcemanager.projects.get
|
Nome:roles/cloudbuild.readTokenAccessor Titolo: Cloud Build Read Only Token Accessor |
Può visualizzare la connessione, i relativi repository,
e accedere al token di sola lettura |
cloudbuild.connections.get
|
Nome:roles/cloudbuild.tokenAccessor Titolo: Cloud Build Token Accessor |
Può visualizzare la connessione, i relativi repository,
e accedere ai token di sola lettura e di lettura/scrittura |
cloudbuild.connections.get
|
Nome: roles/cloudbuild.workerPoolOwner Titolo: Cloud Build WorkerPool Owner |
Controllo completo del pool privato | cloudbuild.workerpools.create
|
Nome:roles/cloudbuild.workerPoolEditor Titolo: Cloud Build WorkerPool Editor |
Possono aggiornare i pool privati | cloudbuild.workerpools.get
|
Nome: roles/cloudbuild.workerPoolViewer Titolo: Cloud Build WorkerPool Viewer |
Può visualizzare i pool privati | cloudbuild.workerpools.get
|
Nome: roles/cloudbuild.workerPoolUser Titolo: Utente del pool di lavoro Cloud Build |
Può eseguire build nel pool privato | cloudbuild.workerpools.use |
Oltre ai ruoli predefiniti di Cloud Build sopra indicati, i ruoli di base Visualizzatore, Editor e Proprietario includono anche le autorizzazioni relative a Cloud Build. Tuttavia, ti consigliamo di assegnare ruoli predefiniti, se possibile, per rispettare il principio di sicurezza del privilegio minimo.
La tabella seguente elenca i ruoli di base e i ruoli IAM di Cloud Build inclusi.
| Ruolo | include il ruolo |
|---|---|
roles/viewer |
roles/cloudbuild.builds.viewer, roles/cloudbuild.integrations.viewer |
roles/editor |
roles/cloudbuild.builds.editor, roles/cloudbuild.integrations.editor |
roles/owner |
roles/cloudbuild.integrations.owner |
Autorizzazioni
La tabella seguente elenca le autorizzazioni che chi chiama deve disporre per chiamare ciascun metodo:
| Metodo API | Autorizzazione richiesta | Titolo del ruolo |
|---|---|---|
builds.create() triggers.create() triggers.patch() triggers.delete() triggers.run() |
cloudbuild.builds.create |
Cloud Build Editor |
builds.cancel() |
cloudbuild.builds.update |
Cloud Build Editor |
builds.get() triggers.get() |
cloudbuild.builds.get |
Cloud Build Editor, Cloud Build Viewer |
builds.list() triggers.list() |
cloudbuild.builds.list |
Cloud Build Editor, Cloud Build Viewer |
Autorizzazioni per visualizzare i log di compilazione
Per visualizzare i log di compilazione, sono necessarie autorizzazioni aggiuntive a seconda che tu li archivi nel bucket Cloud Storage predefinito o in un bucket Cloud Storage specificato dall'utente. Per ulteriori informazioni sulle autorizzazioni necessarie per visualizzare i log di compilazione, consulta Archiviazione e visualizzazione dei log di compilazione.
Passaggi successivi
- Scopri di più sul service account Cloud Build.
- Scopri come configurare l'accesso alle risorse Cloud Build.
- Scopri come configurare l'accesso per l'account di servizio Cloud Build.
- Scopri di più su IAM.