Mengonfigurasi akses ke resource Cloud Build

Secara default, hanya pembuat project Google Cloud yang memiliki akses ke project dan resource-nya. Untuk memberikan akses kepada pengguna lain, Anda dapat memberikan peran Identity and Access Management (IAM) di project, atau di resource Cloud Build tertentu.

Halaman ini menjelaskan cara menetapkan kontrol akses untuk resource Cloud Build Anda.

Sebelum memulai

Memberikan peran pada project

Konsol

  1. Buka halaman IAM di konsol Google Cloud:

    Buka halaman IAM

  2. Pilih project Anda, lalu klik Lanjutkan.

  3. Klik Grant access.

  4. Masukkan alamat email pengguna atau akun layanan.

  5. Pilih peran yang diinginkan dari menu drop-down. Peran Cloud Build berada di bagian Cloud Build.

  6. Klik Simpan.

gcloud

Untuk memberikan peran kepada akun utama, jalankan perintah add-iam-policy-binding:

gcloud group add-iam-policy-binding resource \
    --member=principal --role=role-id

Dengan keterangan:

  • group: Grup gcloud CLI untuk resource yang ingin Anda update. Misalnya, Anda dapat menggunakan project atau organisasi.

  • resource: Nama resource.

  • principal: ID untuk akun utama, yang biasanya memiliki bentuk berikut: principal-type:id. Misalnya, user:my-user@example.com. Untuk daftar lengkap jenis akun utama atau anggota, lihat Referensi Binding Kebijakan.

  • role-id: Nama peran.

Misalnya, untuk memberikan peran Cloud Build Viewer kepada pengguna my-user@example.com untuk project my-project:

gcloud projects add-iam-policy-binding my-project \
    --member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer

Memberikan izin untuk menjalankan perintah gcloud

Untuk menjalankan perintah gcloud builds, pengguna yang hanya memiliki peran cloudbuild.builds.viewer atau cloudbuild.builds.editor juga memerlukan izin serviceusage.services.use. Untuk memberikan izin ini kepada pengguna, berikan peran serviceusage.serviceUsageConsumer kepada mereka.

Pengguna dengan peran/editor dan peran/pemilik dapat menjalankan perintah gcloud builds tanpa izin serviceusage.services.use tambahan.

Izin untuk melihat log build

Untuk melihat log build, Anda memerlukan izin tambahan, bergantung pada apakah Anda menyimpan log build di bucket Cloud Storage default atau di bucket Cloud Storage yang ditentukan pengguna. Untuk mengetahui informasi selengkapnya tentang izin yang diperlukan untuk melihat log build, lihat Melihat log build.

Mencabut peran di project

Konsol

  1. Buka halaman IAM di konsol Google Cloud:

    Buka halaman IAM

  2. Pilih project Anda, lalu klik Lanjutkan.

  3. Di tabel izin, temukan ID email akun utama, lalu klik ikon pensil.

  4. Hapus peran yang ingin Anda cabut.

  5. Klik Simpan.

gcloud

Untuk mencabut peran dari pengguna, jalankan perintah remove-iam-policy-binding:

gcloud group remove-iam-policy-binding resource \
    --member=principal --role=role-id

Dengan keterangan:

  • group: Grup gcloud CLI untuk resource yang ingin Anda update. Misalnya, Anda dapat menggunakan project atau organisasi.

  • resource: Nama resource.

  • principal: ID untuk akun utama, yang biasanya memiliki bentuk berikut: principal-type:id. Misalnya, user:my-user@example.com. Untuk daftar lengkap jenis akun utama atau anggota, lihat Referensi Binding Kebijakan.

  • role-id: Nama peran.

Misalnya, untuk mencabut peran Cloud Build Viewer dari pengguna my-user@example.com untuk project my-project:

gcloud projects remove-iam-policy-binding my-project \
    --member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer

Melihat peran di project

Konsol

  1. Buka halaman IAM di konsol Google Cloud:

    Buka halaman IAM

  2. Pilih project Anda, lalu klik Lanjutkan.

  3. Di bagian Lihat menurut, klik Peran.

  4. Untuk melihat akun utama dengan peran tertentu, luaskan nama peran.

gcloud

Untuk melihat semua pengguna yang diberi peran tertentu dalam project Google Cloud, jalankan perintah berikut:

gcloud projects get-iam-policy project-id \
    --flatten="bindings[].members" \
    --format="table(bindings.members)" \
    --filter="bindings.role:role-id"

Dengan keterangan:

  • project-id adalah project ID Anda.

  • role-id adalah nama peran yang akun utamanya ingin Anda lihat.

Misalnya, untuk melihat semua akun utama dalam project yang diberi peran Viewer project Google Cloud, jalankan perintah berikut:

gcloud projects get-iam-policy my-project \
    --flatten="bindings[].members" \
    --format="table(bindings.members)" \
    --filter="bindings.role:roles/cloudbuild.builds.viewer"

Membuat peran khusus IAM

Untuk pengguna yang ingin menentukan peran mereka sendiri yang berisi paket izin yang mereka tentukan, IAM menawarkan peran khusus. Untuk mengetahui petunjuk cara membuat dan menggunakan peran khusus IAM, lihat Membuat dan Mengelola Peran Khusus.

Langkah selanjutnya