Por predefinição, apenas o criador de um Google Cloud projeto tem acesso ao projeto e aos respetivos recursos. Para conceder acesso a outros utilizadores, pode conceder funções de gestão de identidade e acesso (IAM) no projeto ou num recurso específico do Cloud Build.
Esta página descreve as formas como pode definir o controlo de acesso para os seus recursos do Cloud Build.
Antes de começar
- Compreenda os conceitos básicos da IAM.
- Saiba mais sobre as funções e as autorizações do Cloud Build.
Conceder funções no projeto
Consola
Abra a página IAM na Google Cloud consola:
Selecione o projeto e clique em Continuar.
Clique em Conceder acesso.
Introduza o endereço de email do utilizador ou da conta de serviço.
Selecione a função pretendida no menu pendente. As funções do Cloud Build estão em Cloud Build.
Clique em Guardar.
gcloud
Para conceder uma função a um principal, execute o comando add-iam-policy-binding:
gcloud group add-iam-policy-binding resource \
--member=principal --role=role-id
Onde:
group: O grupo da CLI gcloud para o recurso que quer atualizar. Por exemplo, pode usar projetos ou organizações.
resource: o nome do recurso.
principal: um identificador para o principal, que normalmente tem o seguinte formato: principal-type:id. Por exemplo, user:my-user@example.com. Para uma lista completa dos tipos de principais ou membros, consulte a referência de associação de políticas.
role-id: o nome da função.
Por exemplo, para conceder a função Leitor do Cloud Build ao utilizador
my-user@example.com para o projeto my-project:
gcloud projects add-iam-policy-binding my-project \
--member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer
Conceder autorizações para executar comandos gcloud
Para executar comandos gcloud builds, os utilizadores com apenas as funções cloudbuild.builds.viewer ou cloudbuild.builds.editor também precisam da autorização serviceusage.services.use. Para conceder esta autorização ao utilizador, atribua-lhe a função serviceusage.serviceUsageConsumer.
O utilizador com as funções roles/editor e roles/owner pode executar comandos
gcloud builds sem a autorização
serviceusage.services.use adicional.
Autorizações para ver registos de compilação
Para ver os registos de compilação, precisa de autorizações adicionais, consoante esteja a armazenar os registos de compilação no contentor do Cloud Storage predefinido ou num contentor do Cloud Storage especificado pelo utilizador. Para mais informações sobre as autorizações necessárias para ver os registos de compilação, consulte o artigo Ver registos de compilação.
Revogar funções no projeto
Consola
Abra a página IAM na Google Cloud consola:
Selecione o projeto e clique em Continuar.
Na tabela de autorizações, localize o ID de email do principal e clique no ícone de lápis.
Elimine a função que quer revogar.
Clique em Guardar.
gcloud
Para revogar uma função de um utilizador, execute o comando remove-iam-policy-binding:
gcloud group remove-iam-policy-binding resource \
--member=principal --role=role-id
Onde:
group: O grupo da CLI gcloud para o recurso que quer atualizar. Por exemplo, pode usar projetos ou organizações.
resource: o nome do recurso.
principal: um identificador para o principal, que normalmente tem o seguinte formato: principal-type:id. Por exemplo, user:my-user@example.com. Para uma lista completa dos tipos de principais ou membros, consulte a referência de associação de políticas.
role-id: o nome da função.
Por exemplo, para revogar a função Leitor do Cloud Build do utilizador
my-user@example.com para o projeto my-project:
gcloud projects remove-iam-policy-binding my-project \
--member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer
Visualizar funções no projeto
Consola
Abra a página IAM na Google Cloud consola:
Selecione o projeto e clique em Continuar.
Em Vista por, clique em Funções.
Para ver os responsáveis com uma determinada função, expanda o nome da função.
gcloud
Para ver todos os utilizadores aos quais é concedida uma função específica num Google Cloud projeto, execute o seguinte comando:
gcloud projects get-iam-policy project-id \
--flatten="bindings[].members" \
--format="table(bindings.members)" \
--filter="bindings.role:role-id"
Onde:
project-id é o ID do seu projeto.
role-id é o nome da função para a qual quer ver os responsáveis.
Por exemplo, para ver todos os principais num projeto aos quais foi concedido o papel de Google Cloud visualizador do projeto, execute o seguinte comando:
gcloud projects get-iam-policy my-project \
--flatten="bindings[].members" \
--format="table(bindings.members)" \
--filter="bindings.role:roles/cloudbuild.builds.viewer"
Criar funções personalizadas do IAM
Para os utilizadores que querem definir as suas próprias funções com conjuntos de autorizações que especificam, o IAM oferece funções personalizadas. Para obter instruções sobre como criar e usar funções personalizadas da IAM, consulte o artigo Criar e gerir funções personalizadas.
O que se segue?
- Saiba mais sobre a conta de serviço predefinida do Cloud Build.
- Saiba como configurar o acesso à conta de serviço do Cloud Build.
- Saiba mais sobre as autorizações necessárias para ver os registos de compilação.