Zugriffssteuerung konfigurieren

Die Zugriffssteuerung in Google Cloud wird über Google Cloud Identity and Access Management (IAM) gesteuert. Mit IAM können Sie Berechtigungen festlegen, wer welchen Zugriff auf welche Ressourcen in Ihrem Projekt hat. IAM bietet einfache und vordefinierte Rollen, die Sie Nutzern für bestimmte Ressourcen zuweisen können. Sie können damit auch benutzerdefinierte Rollen erstellen.

Cloud Build verwendet IAM für die Zugriffssteuerung. Sie können damit Teammitglieder Ihrem Projekt hinzufügen und ihnen Berechtigungen zum Erstellen, Anzeigen und Beenden von Builds erteilen. Nutzer benötigen zum Aufrufen von Cloud Build API-Methoden die erforderlichen Cloud IAM-Berechtigungen.

Auf dieser Seite werden die IAM-Berechtigungen und -Rollen dargestellt, die zum Aufrufen der Cloud Build-Methode erforderlich sind. Darüber hinaus wird erläutert, wie mit IAM Berechtigungen für Teammitglieder und Dienstkonten Ihres Projekts konfiguriert werden.

Berechtigungen

In der folgenden Tabelle werden die Berechtigungen aufgeführt, die erforderlich sind, um eine bestimmte Methode aufzurufen:

API-Methode Erforderliche Berechtigung Rollentitel
builds.create()
triggers.create()
triggers.patch()
triggers.delete()
triggers.run()
cloudbuild.builds.create Cloud-Build-Bearbeiter
builds.cancel() cloudbuild.builds.update Cloud-Build-Bearbeiter
builds.get()
triggers.get()
cloudbuild.builds.get Cloud-Build-Bearbeiter, Cloud-Build-Betrachter
builds.list()
triggers.list()
cloudbuild.builds.list Cloud Build-Bearbeiter, Cloud Build-Betrachter

Roles

Mit IAM ist es für jede API-Methode in Cloud Build erforderlich, dass das Konto, das die API-Anfrage sendet, die entsprechenden Berechtigungen zur Verwendung der Ressource hat. Berechtigungen werden durch Zuweisung von Rollen erteilt, die die jeweilige Berechtigung enthalten. Zusätzlich zu den einfachen Rollen "Inhaber", "Bearbeiter" und "Betrachter" können Sie den Nutzern Ihres Projekts Cloud Build-Rollen zuweisen.

In der folgenden Tabelle sind die Cloud Build-IAM-Rollen und deren Berechtigungen aufgeführt:

Rolle Rollentitel Berechtigungen
roles/cloudbuild.builds.viewer Cloud Build-Betrachter cloudbuild.builds.get
cloudbuild.builds.list
roles/cloudbuild.builds.editor Cloud Build-Bearbeiter Alle der oben genannten und:
cloudbuild.builds.create
cloudbuild.builds.update

In der folgenden Tabelle sind die einfachen Rollen aufgelistet, die bereits vor Cloud IAM vorhanden waren, sowie die darin enthaltenen Cloud Build-IAM-Rollen:

Rolle Rollentitel Umfasst die Rolle
roles/viewer Betrachter roles/cloudbuild.builds.viewer
roles/editor oder roles/owner Bearbeiter oder Inhaber roles/cloudbuild.builds.editor

IAM-Rollen über die Cloud Console verwalten

So weisen Sie IAM-Rollen für ein neues Teammitglied oder Dienstkonto zu:

  1. Rufen Sie in der Google Cloud Console die Seite "IAM" auf.
  2. Wählen Sie Ihr Projekt aus und klicken Sie auf Weiter.
  3. Klicken Sie auf Hinzufügen.
  4. Geben Sie die E-Mail-Adresse des Teammitglieds oder Dienstkontos ein.
  5. Wählen Sie den gewünschten Rollentitel im Drop-down-Menü aus. Cloud Build-Rollen finden Sie unter Cloud Build.
  6. Klicken Sie auf Hinzufügen.

Benutzerdefinierte IAM-Rollen erstellen

So erstellen Sie eine benutzerdefinierte Cloud IAM-Rolle mit Cloud Build-Berechtigungen:

  1. Rufen Sie in der Cloud Console die Seite "Rollen" auf.

    Seite "Rollen" öffnen

  2. Wählen Sie Ihr Projekt und Ihre Organisation aus.
  3. Klicken Sie auf Rolle erstellen.
  4. Geben Sie Werte für Name und Beschreibung für die Rolle ein.
  5. Klicken Sie auf Berechtigungen hinzufügen.
  6. Wählen Sie in der Drop-down-Liste Alle Dienste die Option cloudbuild aus.
  7. Wählen Sie eine oder mehrere Berechtigungen aus und klicken Sie auf Berechtigungen hinzufügen.
  8. Klicken Sie auf Erstellen.

Weitere Anleitungen zur Verwendung von benutzerdefinierten Cloud IAM-Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Cloud Build-Dienstkonto

Cloud Build verwendet ein spezielles Dienstkonto, um Builds für Sie auszuführen.

Wenn Sie die Cloud Build API aktivieren, wird das Dienstkonto automatisch erstellt und erhält für Ihr Projekt die Rolle Cloud Build Service Account. Mit dieser Rolle können mehrere Aufgaben ausgeführt werden. Bestimmte Aktionen, für die zusätzliche IAM-Rollen manuell erteilt werden müssen, sind mit dem Konto jedoch nicht möglich. In der Cloud Console im Bereich IAM & Verwaltung können Sie dem Dienstkonto die entsprechenden Rollen hinzufügen.

Eine Anleitung zum Gewähren des Zugriffs auf Cloud Build-Dienstkonten finden Sie unter Erweiterten Zugriff gewähren.

Nächste Schritte