Zugriff auf Cloud Build-Ressourcen konfigurieren

Standardmäßig hat nur der Ersteller eines Google Cloud-Projekts Zugriff auf das Projekt und seine Ressourcen. Wenn Sie anderen Nutzern Zugriff gewähren möchten, können Sie IAM-Rollen (Identity and Access Management) für das Projekt oder für eine bestimmte Cloud Build-Ressource zuweisen.

Auf dieser Seite wird beschrieben, wie Sie die Zugriffssteuerung für Ihre Cloud Build-Ressourcen festlegen können.

Hinweis

Rollen für das Projekt zuweisen

Console

  1. Öffnen Sie in der Google Cloud Console die Seite „IAM“:

    Seite "IAM" öffnen

  2. Wählen Sie Ihr Projekt aus und klicken Sie auf Weiter.

  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie die E-Mail-Adresse des Nutzers oder Dienstkontos ein.

  5. Wählen Sie die gewünschte Rolle im Drop-down-Menü aus. Cloud Build-Rollen finden Sie unter Cloud Build.

  6. Klicken Sie auf Speichern.

gcloud

Wenn Sie einem Hauptkonto eine Rolle zuweisen möchten, führen Sie den Befehl add-iam-policy-binding aus:

gcloud group add-iam-policy-binding resource \
    --member=principal --role=role-id

Wobei:

  • group: Die gcloud CLI-Gruppe für die Ressource, die Sie aktualisieren möchten. Sie können z. B. projects oder organizations verwenden.

  • resource: Name der Ressource.

  • principal: Die Kennung für das Hauptkonto, in der Regel im Format: Hauptkonto-Typ:ID. Beispiel: user:my-user@example.com. Eine vollständige Liste der Hauptkonto- oder Mitgliedstypen finden Sie in der Referenz zur Richtlinienbindung.

  • role-id: Name der Rolle.

So gewähren Sie dem Nutzer my-user@example.com für das Projekt my-project beispielsweise die Rolle "Cloud Build-Betrachter":

gcloud projects add-iam-policy-binding my-project \
    --member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer

Berechtigungen zum Ausführen von gcloud-Befehlen erteilen

Zum Ausführen von gcloud builds-Befehlen benötigen Nutzer mit der Rolle cloudbuild.builds.viewer oder cloudbuild.builds.editor auch die Berechtigung serviceusage.services.use. Um dem Nutzer diese Berechtigung zu erteilen, weisen Sie ihm die Rolle serviceusage.serviceUsageConsumer zu.

Nutzer mit den Rollen/Bearbeiter und Rollen/Inhaber können gcloud builds-Befehle ohne die zusätzliche Berechtigung serviceusage.services.use ausführen.

Berechtigungen zum Aufrufen von Build-Logs

Zum Aufrufen von Build-Logs benötigen Sie zusätzliche Berechtigungen, je nachdem, ob Sie Ihre Build-Logs im Cloud Storage-Standard-Bucket oder in einem benutzerdefinierten Cloud Storage-Bucket speichern. Weitere Informationen zu den Berechtigungen, die zum Aufrufen von Build-Logs erforderlich sind, finden Sie unter Build-Logs ansehen.

Rollen für das Projekt widerrufen

Console

  1. Öffnen Sie in der Google Cloud Console die Seite „IAM“:

    Seite "IAM" öffnen

  2. Wählen Sie Ihr Projekt aus und klicken Sie auf Weiter.

  3. Suchen Sie in der Berechtigungstabelle nach der E-Mail-ID des Hauptkontos und klicken Sie auf das Stiftsymbol.

  4. Löschen Sie die Rolle, die Sie widerrufen möchten.

  5. Klicken Sie auf Speichern.

gcloud

Wenn Sie einem Nutzer eine Rolle entziehen möchten, führen Sie den Befehl remove-iam-policy-binding aus:

gcloud group remove-iam-policy-binding resource \
    --member=principal --role=role-id

Wobei:

  • group: Die gcloud CLI-Gruppe für die Ressource, die Sie aktualisieren möchten. Sie können z. B. projects oder organizations verwenden.

  • resource: Name der Ressource.

  • principal: Die Kennung für das Hauptkonto, in der Regel im Format: Hauptkonto-Typ:ID. Beispiel: user:my-user@example.com. Eine vollständige Liste der Hauptkonto- oder Mitgliedstypen finden Sie in der Referenz zur Richtlinienbindung.

  • role-id: Name der Rolle.

So widerrufen Sie z. B. die Rolle "Cloud Build-Betrachter" des Nutzers my-user@example.com für das Projekt my-project:

gcloud projects remove-iam-policy-binding my-project \
    --member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer

Rollen im Projekt aufrufen

Console

  1. Öffnen Sie in der Google Cloud Console die Seite „IAM“:

    Seite "IAM" öffnen

  2. Wählen Sie Ihr Projekt aus und klicken Sie auf Weiter.

  3. Klicken Sie unter Anzeigen nach auf Rollen.

  4. Um die Hauptkonten mit einer bestimmten Rolle zu sehen, erweitern Sie den Rollennamen.

gcloud

Führen Sie den folgenden Befehl aus, um alle Nutzer mit einer bestimmten Rolle in einem Google Cloud-Projekt anzuzeigen:

gcloud projects get-iam-policy project-id \
    --flatten="bindings[].members" \
    --format="table(bindings.members)" \
    --filter="bindings.role:role-id"

Wobei:

  • project-id ist die Projekt-ID.

  • role-id ist der Name der Rolle, für die Sie die Hauptkonten aufrufen möchten.

Führen Sie beispielsweise den folgenden Befehl aus, um alle Hauptkonten in einem Projekt mit der Rolle „Google Cloud-Projektbetrachter“ aufzurufen:

gcloud projects get-iam-policy my-project \
    --flatten="bindings[].members" \
    --format="table(bindings.members)" \
    --filter="bindings.role:roles/cloudbuild.builds.viewer"

Benutzerdefinierte IAM-Rollen erstellen

Für Nutzer, die eigene Rollen definieren möchten, die von ihnen festgelegte Berechtigungen enthalten, bietet IAM benutzerdefinierte Rollen. Eine Anleitung zum Erstellen und Verwenden benutzerdefinierter IAM-Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Nächste Schritte