Como configurar o controle de acesso

O controle de acesso no Google Cloud é controlado usando o Google Cloud Identity and Access Management (IAM). O IAM possibilita definir permissões que especificam quem tem que tipo de acesso a quais recursos no seu projeto. O IAM oferece papéis primários e predefinidos que você concede a usuários em determinados recursos. Ele também permite que você crie papéis personalizados.

O Cloud Build usa o IAM para controle de acesso. Use o IAM para adicionar membros da equipe ao seu projeto e conceder a eles permissões para criar, visualizar e cancelar versões. Os usuários requerem as permissões necessárias do Cloud IAM para chamar os métodos da API Cloud Build.

Esta página explica descreve as permissões e os papéis do IAM necessários para chamar o método do Cloud Build e explica como usar o IAM para configurar permissões para os membros da equipe do projeto e as contas de serviço.

Permissões

A tabela a seguir lista as permissões que o solicitante precisa ter para chamar cada método:

Método de API Permissão necessária Título do papel
builds.create()
triggers.create()
triggers.patch()
triggers.delete()
triggers.run()
cloudbuild.builds.create Editor do Cloud Build
builds.cancel() cloudbuild.builds.update Editor do Cloud Build
builds.get()
triggers.get()
cloudbuild.builds.get Editor do Cloud Build, Leitor do Cloud Build
builds.list()
triggers.list()
cloudbuild.builds.list Editor do Cloud Build, Leitor do Cloud Build

Papel

Com o IAM, todo método de API no Cloud Build exige que a conta autora da solicitação de API tenha as permissões adequadas para usar o recurso. As permissões são concedidas por meio da concessão de papéis, que inclui essa permissão. Além dos papéis primários de proprietário, editor e leitor, é possível conceder aos usuários do projeto os papéis do Cloud Build.

A tabela abaixo lista os papéis do IAM do Cloud Build e as permissões que eles incluem:

Papel Título do papel Permissões inclusas
roles/cloudbuild.builds.viewer Leitor do Cloud Build cloudbuild.builds.get
cloudbuild.builds.list
roles/cloudbuild.builds.editor Editor do Cloud Build Todos os itens acima e:
cloudbuild.builds.create
cloudbuild.builds.update

A tabela abaixo lista os papéis primários que existiam antes do Cloud IAM e os papéis de IAM do Cloud Build que eles incluem.

Papel Título do papel Papéis inclusos
roles/viewer Leitor roles/cloudbuild.builds.viewer
roles/editor ou roles/owner Editor ou Proprietário roles/cloudbuild.builds.editor

Como gerenciar papéis do IAM por meio do Console do Cloud

Para conceder papéis do IAM a um novo membro da equipe ou uma conta de serviço:

  1. Abra a página Gerenciamento de identidade e acesso no Console do Google Cloud.
  2. Selecione o projeto e clique em Continuar.
  3. Clique em Adicionar.
  4. Digite o endereço de e-mail do membro da equipe ou da conta de serviço.
  5. Selecione o Título do papel que você quer no menu suspenso. Os papéis do Cloud Build são encontrados em Cloud Build.
  6. Clique em Adicionar.

Como criar papéis personalizados do IAM

Para criar um papel personalizado do Cloud IAM com permissões do Cloud Build, siga estas etapas:

  1. Acesse a página "Papéis" no Console do Cloud.

    Abrir a página "Papéis"

  2. Selecione seu projeto e organização.
  3. Clique em Criar papel.
  4. Insira um Nome e uma Descrição para o papel.
  5. Clique em Adicionar permissões.
  6. No menu suspenso Todos os serviços, selecione cloudbuild.
  7. Selecione uma ou mais permissões e clique em Adicionar permissões.
  8. Clique em Criar

Para mais instruções sobre o uso de papéis personalizados do Cloud IAM, consulte Como criar e gerenciar papéis personalizados.

Conta de serviço do Cloud Build

O Cloud Build usa uma conta de serviço especial para executar versões em seu nome.

Quando você ativa a API Cloud Build, a conta de serviço é criada automaticamente e recebe o papel do Cloud Build Service Account para o projeto. Esse papel é suficiente para várias tarefas, mas não permite que a conta execute determinadas ações, que exigem a concessão manual de outros papéis do IAM. Consulte a seção IAM e administrador no Console do Cloud para adicionar os papéis apropriadas à conta de serviço.

Para ver instruções sobre como conceder acesso a contas de serviço do Cloud Build, consulte Como conceder acesso adicional.

A seguir