Configurazione dell'accesso alle risorse Cloud Build

Per impostazione predefinita, solo l'autore di un progetto Google Cloud ha accesso al progetto e alle sue risorse. Per concedere l'accesso ad altri utenti, puoi concedere i ruoli IAM (Identity and Access Management) per il progetto o per una risorsa Cloud Build specifica.

Questa pagina descrive come impostare controllo dell'accesso alle risorse Cloud Build.

Prima di iniziare

Impara i concetti di base di IAM.
Scopri di più su ruoli e autorizzazioni di Cloud Build.

Concessione di ruoli nel progetto

Console

Apri la pagina IAM nella console Google Cloud:

Apri la pagina IAM
Seleziona il progetto e fai clic su Continua.
Fai clic su Concedi accesso.
Inserisci l'indirizzo email dell'utente o dell'account di servizio.
Seleziona il ruolo che preferisci dal menu a discesa. I ruoli di Cloud Build sono in Cloud Build.
Fai clic su Salva.

gcloud

Per concedere un ruolo a un'entità, esegui il comando add-iam-policy-binding:

gcloud group add-iam-policy-binding resource \
    --member=principal --role=role-id

Dove:

group: il gruppo gcloud CLI per la risorsa che vuoi aggiornare. Ad esempio, puoi utilizzare progetti o organizzazioni.
resource: il nome della risorsa.
principal: un identificatore per l'entità, che in genere ha il seguente formato: principal-type:id. Ad esempio, user:mio-utente@example.com. Per un elenco completo dei tipi di entità o membri, consulta il riferimento sull'associazione dei criteri.
role-id: il nome del ruolo.

Ad esempio, per concedere il ruolo Visualizzatore Cloud Build all'utente my-user@example.com per il progetto my-project:

gcloud projects add-iam-policy-binding my-project \
    --member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer

Concessione delle autorizzazioni per eseguire i comandi gcloud

Per eseguire i comandi gcloud builds, gli utenti con solo ruoli cloudbuild.builds.viewer o cloudbuild.builds.editor devono avere anche l'autorizzazione serviceusage.services.use. Per concedere questa autorizzazione all'utente, concedigli il ruolo serviceusage.serviceUsageConsumer.

L'utente con ruoli/editor e ruoli/proprietario può eseguire i comandi gcloud builds senza l'autorizzazione serviceusage.services.use aggiuntiva.

Autorizzazioni per visualizzare i log di build

Per visualizzare i log di build, hai bisogno di autorizzazioni aggiuntive a seconda che tu stia archiviando i log nel bucket Cloud Storage predefinito o in un bucket Cloud Storage specificato dall'utente. Per ulteriori informazioni sulle autorizzazioni necessarie per visualizzare i log di build, consulta Visualizzazione dei log di build.

Revoca dei ruoli nel progetto

Console

Apri la pagina IAM nella console Google Cloud:

Apri la pagina IAM
Seleziona il progetto e fai clic su Continua.
Nella tabella delle autorizzazioni, individua l'ID email dell'entità e fai clic sull'icona a forma di matita.
Elimina il ruolo che vuoi revocare.
Fai clic su Salva.

gcloud

Per revocare un ruolo a un utente, esegui il comando remove-iam-policy-binding:

gcloud group remove-iam-policy-binding resource \
    --member=principal --role=role-id

Dove:

group: il gruppo gcloud CLI per la risorsa che vuoi aggiornare. Ad esempio, puoi utilizzare progetti o organizzazioni.
resource: il nome della risorsa.
principal: un identificatore per l'entità, che in genere ha il seguente formato: principal-type:id. Ad esempio, user:mio-utente@example.com. Per un elenco completo dei tipi di entità o membri, consulta il riferimento sull'associazione dei criteri.
role-id: il nome del ruolo.

Ad esempio, per revocare il ruolo Visualizzatore Cloud Build dall'utente my-user@example.com per il progetto my-project:

gcloud projects remove-iam-policy-binding my-project \
    --member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer

Visualizzazione dei ruoli nel progetto

Console

Apri la pagina IAM nella console Google Cloud:

Apri la pagina IAM
Seleziona il progetto e fai clic su Continua.
In Visualizza per, fai clic su Ruoli.
Per visualizzare le entità con un determinato ruolo, espandi il nome del ruolo.

gcloud

Per visualizzare tutti gli utenti a cui è stato concesso un determinato ruolo in un progetto Google Cloud, esegui questo comando:

gcloud projects get-iam-policy project-id \
    --flatten="bindings[].members" \
    --format="table(bindings.members)" \
    --filter="bindings.role:role-id"

Dove:

project-id è l'ID progetto.
role-id è il nome del ruolo per il quale vuoi visualizzare le entità.

Ad esempio, per visualizzare tutte le entità di un progetto a cui è stato concesso il ruolo Visualizzatore progetto Google Cloud, esegui questo comando:

gcloud projects get-iam-policy my-project \
    --flatten="bindings[].members" \
    --format="table(bindings.members)" \
    --filter="bindings.role:roles/cloudbuild.builds.viewer"

Creazione di ruoli IAM personalizzati

Per gli utenti che vogliono definire i propri ruoli contenenti pacchetti di autorizzazioni da loro specificati, IAM offre ruoli personalizzati. Per istruzioni sulla creazione e sull'utilizzo dei ruoli IAM personalizzati, consulta Creazione e gestione dei ruoli personalizzati.

Passaggi successivi

Scopri di più sull'account di servizio Cloud Build.
Scopri come configurare l'accesso all'account di servizio Cloud Build.
Scopri di più sulle autorizzazioni necessarie per visualizzare i log di build.