Mengonfigurasi akses ke resource Cloud Build

Secara default, hanya pembuat project Google Cloud yang memiliki akses ke project dan resource-nya. Untuk memberikan akses kepada pengguna lain, Anda dapat memberikan peran Identity and Access Management (IAM) pada project, atau pada resource Cloud Build tertentu.

Halaman ini menjelaskan cara menyetel kontrol akses untuk resource Cloud Build.

Sebelum memulai

Memberikan peran pada proyek

Konsol

  1. Buka halaman IAM di Konsol Google Cloud:

    Buka halaman IAM

  2. Pilih project Anda, lalu klik Continue.

  3. Klik Berikan akses.

  4. Masukkan alamat email pengguna atau akun layanan.

  5. Pilih peran yang diinginkan dari menu drop-down. Peran Cloud Build berada di bagian Cloud Build.

  6. Klik Simpan.

gcloud

Untuk memberikan peran kepada akun utama, jalankan perintah add-iam-policy-binding:

gcloud group add-iam-policy-binding resource \
    --member=principal --role=role-id

Dengan keterangan:

  • group: Grup gcloud CLI untuk resource yang ingin Anda update. Misalnya, Anda dapat menggunakan project atau organisasi.

  • resource: Nama resource.

  • principal: ID untuk akun utama, yang biasanya memiliki bentuk berikut: principal-type:id. Misalnya, user:my-user@example.com. Untuk mengetahui daftar lengkap jenis akun utama atau anggota, lihat Referensi Binding Kebijakan.

  • role-id: Nama peran.

Misalnya, untuk memberikan peran Cloud Build Viewer kepada pengguna my-user@example.com untuk project my-project:

gcloud projects add-iam-policy-binding my-project \
    --member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer

Memberikan izin untuk menjalankan perintah gcloud

Untuk menjalankan perintah gcloud builds, pengguna hanya dengan peran cloudbuild.builds.viewer atau cloudbuild.builds.editor juga memerlukan izin serviceusage.services.use. Untuk memberikan izin ini kepada pengguna, beri mereka peran serviceusage.serviceUsageConsumer.

Pengguna dengan peran/editor dan peran/pemilik dapat menjalankan perintah gcloud builds tanpa izin serviceusage.services.use tambahan.

Izin untuk melihat log build

Untuk melihat log build, Anda memerlukan izin tambahan, bergantung pada apakah Anda menyimpan log build di bucket Cloud Storage default atau di bucket Cloud Storage yang ditentukan pengguna. Untuk informasi selengkapnya tentang izin yang diperlukan untuk melihat log build, buka Melihat log build.

Mencabut peran dalam proyek

Konsol

  1. Buka halaman IAM di Konsol Google Cloud:

    Buka halaman IAM

  2. Pilih project Anda, lalu klik Continue.

  3. Dalam tabel izin, temukan ID email utama dan klik ikon pensil.

  4. Hapus peran yang ingin Anda cabut.

  5. Klik Simpan.

gcloud

Untuk mencabut peran dari pengguna, jalankan perintah remove-iam-policy-binding:

gcloud group remove-iam-policy-binding resource \
    --member=principal --role=role-id

Dengan keterangan:

  • group: Grup gcloud CLI untuk resource yang ingin Anda update. Misalnya, Anda dapat menggunakan project atau organisasi.

  • resource: Nama resource.

  • principal: ID untuk akun utama, yang biasanya memiliki bentuk berikut: principal-type:id. Misalnya, user:my-user@example.com. Untuk mengetahui daftar lengkap jenis akun utama atau anggota, lihat Referensi Binding Kebijakan.

  • role-id: Nama peran.

Misalnya, untuk mencabut peran Cloud Build Viewer dari my-user@example.com pengguna untuk project my-project:

gcloud projects remove-iam-policy-binding my-project \
    --member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer

Melihat peran pada proyek

Konsol

  1. Buka halaman IAM di Konsol Google Cloud:

    Buka halaman IAM

  2. Pilih project Anda, lalu klik Continue.

  3. Di bagian Lihat menurut, klik Peran.

  4. Untuk melihat akun utama dengan peran tertentu, luaskan nama peran.

gcloud

Untuk melihat semua pengguna yang diberi peran tertentu dalam project Google Cloud, jalankan perintah berikut:

gcloud projects get-iam-policy project-id \
    --flatten="bindings[].members" \
    --format="table(bindings.members)" \
    --filter="bindings.role:role-id"

Dengan keterangan:

  • project-id adalah project ID Anda.

  • role-id adalah nama peran yang ingin Anda lihat akun utamanya.

Misalnya, untuk melihat semua akun utama dalam project yang diberi peran Google Cloud project Viewer, jalankan perintah berikut:

gcloud projects get-iam-policy my-project \
    --flatten="bindings[].members" \
    --format="table(bindings.members)" \
    --filter="bindings.role:roles/cloudbuild.builds.viewer"

Membuat peran khusus IAM

Bagi pengguna yang ingin menentukan peran mereka sendiri yang berisi paket izin yang mereka tentukan, IAM menawarkan peran khusus. Untuk mengetahui petunjuk tentang cara membuat dan menggunakan peran khusus IAM, lihat Membuat dan Mengelola Peran Khusus.

Langkah selanjutnya