Per impostazione predefinita, solo il creator di un progetto Google Cloud ha accesso al progetto e alle relative risorse. Per concedere l'accesso ad altri utenti, puoi concedere Ruoli IAM (Identity and Access Management) nel progetto o in una risorsa di Cloud Build.
In questa pagina vengono descritti i modi in cui puoi impostare il controllo dell'accesso per il tuo di Cloud Build.
Prima di iniziare
- Comprendere i concetti di base di IAM.
- Scopri di più sui ruoli e le autorizzazioni di Cloud Build.
Concessione dei ruoli nel progetto
Console
Apri la pagina IAM nella console Google Cloud:
Seleziona il progetto e fai clic su Continua.
Fai clic su Concedi accesso.
Inserisci l'indirizzo email dell'utente o dell'account di servizio.
Seleziona il ruolo che ti interessa dal menu a discesa. I ruoli Cloud Build si trovano in Cloud Build.
Fai clic su Salva.
gcloud
Per concedere un ruolo a un'entità, esegui il comando add-iam-policy-binding:
gcloud group add-iam-policy-binding resource \
--member=principal --role=role-id
Dove:
group: il gruppo gcloud CLI per la risorsa vuoi aggiornare. Ad esempio, puoi utilizzare progetti o organizzazioni.
resource: il nome della risorsa.
principal: un identificatore per l'entità, che in genere ha la seguente forma: principal-type:id. Ad esempio utente:utente-personale@example.com. Per un elenco completo dei tipi di entità o membri, consulta Riferimento all'associazione dei criteri.
role-id: il nome del ruolo.
Ad esempio, per concedere all'utente il ruolo Visualizzatore Cloud Build
my-user@example.com per il progetto my-project:
gcloud projects add-iam-policy-binding my-project \
--member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer
Concedere le autorizzazioni per eseguire i comandi gcloud
Per eseguire i comandi gcloud builds, gli utenti con solo
I ruoli cloudbuild.builds.viewer o cloudbuild.builds.editor richiedono anche
serviceusage.services.use. Per concedere questa autorizzazione all'utente, assegnagli il ruolo serviceusage.serviceUsageConsumer.
Gli utenti con ruoli/editor e ruoli/proprietari possono eseguire
gcloud builds senza i comandi aggiuntivi
Autorizzazione serviceusage.services.use.
Autorizzazioni per visualizzare i log di build
Per visualizzare i log di build, sono necessarie autorizzazioni aggiuntive a seconda che stai archiviando i log di build nel bucket Cloud Storage predefinito o in un bucket Cloud Storage specificato dall'utente. Per ulteriori informazioni sulle autorizzazioni necessarie per visualizzare i log di compilazione, vedi Visualizzare i log di compilazione.
Revocare i ruoli nel progetto
Console
Apri la pagina IAM nella console Google Cloud:
Seleziona il progetto e fai clic su Continua.
Nella tabella delle autorizzazioni, individua l'ID email dell'entità e fai clic sulla icona a forma di matita.
Elimina il ruolo che vuoi revocare.
Fai clic su Salva.
gcloud
Per revocare un ruolo a un utente, esegui il comando remove-iam-policy-binding:
gcloud group remove-iam-policy-binding resource \
--member=principal --role=role-id
Dove:
group: il gruppo gcloud CLI per la risorsa vuoi aggiornare. Ad esempio, puoi utilizzare progetti o organizzazioni.
resource: il nome della risorsa.
principal: un identificatore per l'entità, che di solito ha il seguente formato: principal-type:id. Ad esempio, utente:mio-utente@example.com. Per un elenco completo dei tipi di entità o membri, consulta la documentazione di riferimento sul vincolo dei criteri.
role-id: il nome del ruolo.
Ad esempio, per revocare all'utente il ruolo Visualizzatore Cloud Build
my-user@example.com per il progetto my-project:
gcloud projects remove-iam-policy-binding my-project \
--member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer
Visualizzazione dei ruoli nel progetto
Console
Apri la pagina IAM nella console Google Cloud:
Seleziona il progetto e fai clic su Continua.
In Visualizza per, fai clic su Ruoli.
Per visualizzare le entità con un determinato ruolo, espandi il nome del ruolo.
gcloud
Per visualizzare tutti gli utenti a cui è stato assegnato un determinato ruolo in un progetto Google Cloud, esegui il seguente comando:
gcloud projects get-iam-policy project-id \
--flatten="bindings[].members" \
--format="table(bindings.members)" \
--filter="bindings.role:role-id"
Dove:
project-id è l'ID progetto.
role-id è il nome del ruolo per cui vuoi visualizzare le entità.
Ad esempio, per visualizzare tutti gli entità in un progetto a cui è stato concesso il ruolo Visualizzatore progetto Google Cloud, esegui il seguente comando:
gcloud projects get-iam-policy my-project \
--flatten="bindings[].members" \
--format="table(bindings.members)" \
--filter="bindings.role:roles/cloudbuild.builds.viewer"
Creazione di ruoli IAM personalizzati
Per gli utenti che vogliono definire i propri ruoli contenenti pacchetti di le autorizzazioni specificate, IAM offre ruoli personalizzati. Per istruzioni sulla creazione e sull'utilizzo dei ruoli personalizzati IAM, consulta Creare e gestire i ruoli personalizzati.
Passaggi successivi
- Scopri di più sull'account di servizio Cloud Build.
- Scopri come configurare l'accesso all'account di servizio Cloud Build.
- Scopri di più sulle autorizzazioni necessarie per visualizzare i log di build.