Secara default, hanya pembuat project Google Cloud yang memiliki akses ke project dan resource-nya. Untuk memberikan akses kepada pengguna lain, Anda dapat memberikan peran Identity and Access Management (IAM) di project, atau di resource Cloud Build tertentu.
Halaman ini menjelaskan cara menetapkan kontrol akses untuk resource Cloud Build Anda.
Sebelum memulai
- Memahami konsep dasar IAM.
- Pelajari peran dan izin Cloud Build.
Memberikan peran pada project
Konsol
Buka halaman IAM di konsol Google Cloud:
Pilih project Anda, lalu klik Lanjutkan.
Klik Grant access.
Masukkan alamat email pengguna atau akun layanan.
Pilih peran yang diinginkan dari menu drop-down. Peran Cloud Build berada di bagian Cloud Build.
Klik Simpan.
gcloud
Untuk memberikan peran kepada akun utama, jalankan perintah add-iam-policy-binding
:
gcloud group add-iam-policy-binding resource \
--member=principal --role=role-id
Dengan keterangan:
group: Grup gcloud CLI untuk resource yang ingin Anda update. Misalnya, Anda dapat menggunakan project atau organisasi.
resource: Nama resource.
principal: ID untuk akun utama, yang biasanya memiliki bentuk berikut: principal-type:id. Misalnya, user:my-user@example.com. Untuk daftar lengkap jenis akun utama atau anggota, lihat Referensi Binding Kebijakan.
role-id: Nama peran.
Misalnya, untuk memberikan peran Cloud Build Viewer kepada pengguna
my-user@example.com
untuk project my-project
:
gcloud projects add-iam-policy-binding my-project \
--member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer
Memberikan izin untuk menjalankan perintah gcloud
Untuk menjalankan perintah gcloud builds
, pengguna yang hanya memiliki peran cloudbuild.builds.viewer
atau cloudbuild.builds.editor
juga memerlukan izin serviceusage.services.use
. Untuk memberikan izin ini kepada pengguna, berikan
peran serviceusage.serviceUsageConsumer
kepada mereka.
Pengguna dengan peran/editor dan peran/pemilik dapat menjalankan perintah gcloud builds
tanpa izin serviceusage.services.use
tambahan.
Izin untuk melihat log build
Untuk melihat log build, Anda memerlukan izin tambahan, bergantung pada apakah Anda menyimpan log build di bucket Cloud Storage default atau di bucket Cloud Storage yang ditentukan pengguna. Untuk mengetahui informasi selengkapnya tentang izin yang diperlukan untuk melihat log build, lihat Melihat log build.
Mencabut peran di project
Konsol
Buka halaman IAM di konsol Google Cloud:
Pilih project Anda, lalu klik Lanjutkan.
Di tabel izin, temukan ID email akun utama, lalu klik ikon pensil.
Hapus peran yang ingin Anda cabut.
Klik Simpan.
gcloud
Untuk mencabut peran dari pengguna, jalankan perintah remove-iam-policy-binding
:
gcloud group remove-iam-policy-binding resource \
--member=principal --role=role-id
Dengan keterangan:
group: Grup gcloud CLI untuk resource yang ingin Anda update. Misalnya, Anda dapat menggunakan project atau organisasi.
resource: Nama resource.
principal: ID untuk akun utama, yang biasanya memiliki bentuk berikut: principal-type:id. Misalnya, user:my-user@example.com. Untuk daftar lengkap jenis akun utama atau anggota, lihat Referensi Binding Kebijakan.
role-id: Nama peran.
Misalnya, untuk mencabut peran Cloud Build Viewer dari pengguna
my-user@example.com
untuk project my-project
:
gcloud projects remove-iam-policy-binding my-project \
--member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer
Melihat peran di project
Konsol
Buka halaman IAM di konsol Google Cloud:
Pilih project Anda, lalu klik Lanjutkan.
Di bagian Lihat menurut, klik Peran.
Untuk melihat akun utama dengan peran tertentu, luaskan nama peran.
gcloud
Untuk melihat semua pengguna yang diberi peran tertentu dalam project Google Cloud, jalankan perintah berikut:
gcloud projects get-iam-policy project-id \
--flatten="bindings[].members" \
--format="table(bindings.members)" \
--filter="bindings.role:role-id"
Dengan keterangan:
project-id adalah project ID Anda.
role-id adalah nama peran yang akun utamanya ingin Anda lihat.
Misalnya, untuk melihat semua akun utama dalam project yang diberi peran Viewer project Google Cloud, jalankan perintah berikut:
gcloud projects get-iam-policy my-project \
--flatten="bindings[].members" \
--format="table(bindings.members)" \
--filter="bindings.role:roles/cloudbuild.builds.viewer"
Membuat peran khusus IAM
Untuk pengguna yang ingin menentukan peran mereka sendiri yang berisi paket izin yang mereka tentukan, IAM menawarkan peran khusus. Untuk mengetahui petunjuk cara membuat dan menggunakan peran khusus IAM, lihat Membuat dan Mengelola Peran Khusus.
Langkah selanjutnya
- Pelajari akun layanan Cloud Build.
- Pelajari cara mengonfigurasi akses ke akun layanan Cloud Build.
- Pelajari izin yang diperlukan untuk melihat log build.