El control de acceso en Cloud Build se controla mediante la administración de identidades y accesos (IAM). IAM te permite crear y administrar permisos para los recursos de Google Cloud. Cloud Build proporciona un conjunto específico de funciones de IAM predefinidas, en el que cada función contiene un conjunto de permisos. Puedes usar estas funciones para brindar acceso más detallado a recursos específicos de Google Cloud y evitar el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgues el acceso necesario a tus recursos.
En esta página, se describen las funciones y los permisos de Cloud Build.
Funciones predefinidas de Cloud Build
Con la IAM, cada método de API en la API de Cloud Build requiere que la identidad que realiza la solicitud a la API tenga los permisos adecuados para usar el recurso. Los permisos se otorgan mediante la configuración de políticas que otorgan funciones a una principal (usuario, grupo o cuenta de servicio). Puedes otorgar varias funciones a una principal en el mismo recurso.
En la tabla que se muestra a continuación, se presentan las funciones y los permisos de IAM de Cloud Build que cuentan con las características siguientes:
| Función | Descripción | Permisos |
|---|---|---|
Nombre: roles/cloudbuild.builds.viewer Título: Visualizador de Cloud Build |
Puede ver Cloud Build
recursos |
cloudbuild.builds.get
|
Nombre: roles/cloudbuild.builds.editor Título: Editor de Cloud Build |
Control total de Cloud Build
recursos |
cloudbuild.builds.get
|
Nombre: roles/cloudbuild.builds.approver Título: Responsable de aprobación de Cloud Build |
Brinda acceso para aprobar o
rechazar compilaciones pendientes |
cloudbuild.builds.get
|
Nombre: roles/cloudbuild.builds.builder Título: Cuenta de servicio de Cloud Build |
Cuando habilitas la API de Cloud Build para un proyecto, la cuenta de servicio de Cloud Build se crea de forma automática en el proyecto. y se le otorga esta función para los recursos del proyecto. La cuenta de servicio de Cloud Build solo usa esta función como necesaria para realizar acciones cuando ejecuta tu compilación. |
Para obtener una lista de los permisos que contiene esta función, consulta Cuenta de servicio de Cloud Build. |
Nombre: roles/cloudbuild.integrations.viewer Título: Visualizador de integraciones de Cloud Build |
Puede ver Cloud Build
Conexiones de host |
cloudbuild.integrations.get
|
Nombre:roles/cloudbuild.integrations.editor Título: Editor de integraciones de Cloud Build |
Control de edición de Cloud Build
Conexiones de host |
cloudbuild.integrations.get
|
Nombre:roles/cloudbuild.integrations.owner Título: Propietario de las integraciones de Cloud Build |
Control total de Cloud Build
Conexiones de host |
cloudbuild.integrations.get
|
Nombre: roles/cloudbuild.workerPoolOwner Título: Propietario de grupo de trabajadores de Cloud Build |
Control total del grupo privado | cloudbuild.workerpools.create
|
Nombre:roles/cloudbuild.workerPoolEditor Título: Editor de grupo de trabajadores de Cloud Build |
Puede actualizar grupos privados | cloudbuild.workerpools.update
|
Nombre: roles/cloudbuild.workerPoolViewer Título: Visualizador del grupo de trabajadores de Cloud Build |
Puede ver piscinas privadas | cloudbuild.workerpools.get
|
Nombre: roles/cloudbuild.workerPoolUser Título: Usuario de grupo de trabajadores de Cloud Build |
Puede ejecutar compilaciones en el grupo privado | cloudbuild.workerpools.use |
Además de las funciones predefinidas de Cloud Build mencionadas, las funciones básicas de visualizador, editor y propietario también incluyen permisos relacionados con Cloud Build. Sin embargo, te recomendamos otorgar funciones predefinidas siempre que sea posible para cumplir con el principio de privilegio mínimo de seguridad.
En la siguiente tabla, se enumeran las funciones básicas y las funciones de IAM de Cloud Build que incluyen.
| Función | incluye función: |
|---|---|
roles/viewer |
roles/cloudbuild.builds.viewer, roles/cloudbuild.integrations.viewer |
roles/editor |
roles/cloudbuild.builds.editor, roles/cloudbuild.integrations.editor |
roles/owner |
roles/cloudbuild.integrations.owner |
Permisos
En la tabla siguiente, se enumeran los permisos que deben tener el emisor para llamar a cada método:
| Método de API | Permiso necesario | Título de la función |
|---|---|---|
builds.create() triggers.create() triggers.patch() triggers.delete() triggers.run() |
cloudbuild.builds.create |
Editor de Cloud Build |
builds.cancel() |
cloudbuild.builds.update |
Editor de Cloud Build |
builds.get() triggers.get() |
cloudbuild.builds.get |
Editor de Cloud Build, Lector de Cloud Build |
builds.list() triggers.list() |
cloudbuild.builds.list |
Editor de Cloud Build, Lector de Cloud Build |
Permisos para ver los registros de compilación
Para ver los registros de compilación, necesitas permisos adicionales según si almacenas los registros de compilación en el bucket predeterminado de Cloud Storage o en un bucket de Cloud Storage especificado por el usuario. Si deseas obtener más información sobre los permisos necesarios para ver los registros de compilación, consulta Almacena y visualiza registros de compilación.
¿Qué sigue?
- Más información sobre la cuenta de servicio de Cloud Build.
- Aprende a configurar el acceso a los recursos de Cloud Build.
- Obtén más información para configurar el acceso a la cuenta de servicio de Cloud Build.
- Obtén información sobre IAM.