Per impostazione predefinita, solo il creator di un progetto Google Cloud ha accesso al progetto e alle relative risorse. Per concedere l'accesso ad altri utenti, puoi assegnare ruoli di Identity and Access Management (IAM) al progetto o a una risorsa Cloud Build specifica.
Questa pagina descrive i modi in cui puoi impostare il controllo dell'accesso per le risorse Cloud Build.
Prima di iniziare
- Comprendi i concetti di base di IAM.
- Scopri di più sui ruoli e sulle autorizzazioni di Cloud Build.
Concedere i ruoli nel progetto
Console
Apri la pagina IAM nella console Google Cloud:
Seleziona il progetto e fai clic su Continua.
Fai clic su Concedi accesso.
Inserisci l'indirizzo email dell'utente o dell'account di servizio.
Seleziona il ruolo che preferisci dal menu a discesa. I ruoli Cloud Build si trovano in Cloud Build.
Fai clic su Salva.
gcloud
Per concedere un ruolo a un entità, esegui il comando add-iam-policy-binding:
gcloud group add-iam-policy-binding resource \
--member=principal --role=role-id
Dove:
group: il gruppo dell'interfaccia a riga di comando gcloud per la risorsa che vuoi aggiornare. Ad esempio, puoi utilizzare progetti o organizzazioni.
resource: il nome della risorsa.
principal: un identificatore per l'entità, che in genere ha la seguente forma: principal-type:id. Ad esempio, utente:mio-utente@example.com. Per un elenco completo dei tipi di entità o membri, consulta la documentazione di riferimento sul vincolo dei criteri.
role-id: il nome del ruolo.
Ad esempio, per concedere il ruolo Visualizzatore Cloud Build all'utentemy-user@example.com per il progetto my-project:
gcloud projects add-iam-policy-binding my-project \
--member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer
Concedere le autorizzazioni per eseguire i comandi gcloud
Per eseguire i comandi gcloud builds, gli utenti con solo ruoli cloudbuild.builds.viewer o cloudbuild.builds.editor richiedono anche l'autorizzazione serviceusage.services.use. Per concedere questa autorizzazione all'utente, assegnagli il ruolo serviceusage.serviceUsageConsumer.
L'utente con i ruoli Editor e Proprietario può eseguire i comandi gcloud builds senza l'autorizzazione aggiuntiva serviceusage.services.use.
Autorizzazioni per visualizzare i log di compilazione
Per visualizzare i log di compilazione, sono necessarie autorizzazioni aggiuntive a seconda che tu li archivi nel bucket Cloud Storage predefinito o in un bucket Cloud Storage specificato dall'utente. Per ulteriori informazioni sulle autorizzazioni necessarie per visualizzare i log di compilazione, consulta Visualizzare i log di compilazione.
Revocare i ruoli nel progetto
Console
Apri la pagina IAM nella console Google Cloud:
Seleziona il progetto e fai clic su Continua.
Nella tabella delle autorizzazioni, individua l'ID indirizzo email dell'entità e fai clic sull'icona a forma di matita.
Elimina il ruolo che vuoi revocare.
Fai clic su Salva.
gcloud
Per revocare un ruolo a un utente, esegui il comando remove-iam-policy-binding:
gcloud group remove-iam-policy-binding resource \
--member=principal --role=role-id
Dove:
group: il gruppo dell'interfaccia a riga di comando gcloud per la risorsa che vuoi aggiornare. Ad esempio, puoi utilizzare progetti o organizzazioni.
resource: il nome della risorsa.
principal: un identificatore per l'entità, che in genere ha la seguente forma: principal-type:id. Ad esempio, utente:mio-utente@example.com. Per un elenco completo dei tipi di entità o membri, consulta la documentazione di riferimento sul vincolo dei criteri.
role-id: il nome del ruolo.
Ad esempio, per revocare il ruolo Visualizzatore Cloud Build all'utentemy-user@example.com per il progetto my-project:
gcloud projects remove-iam-policy-binding my-project \
--member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer
Visualizzazione dei ruoli nel progetto
Console
Apri la pagina IAM nella console Google Cloud:
Seleziona il progetto e fai clic su Continua.
In Visualizza per, fai clic su Ruoli.
Per visualizzare i principali con un determinato ruolo, espandi il nome del ruolo.
gcloud
Per visualizzare tutti gli utenti a cui è stato assegnato un determinato ruolo in un progetto Google Cloud, esegui il seguente comando:
gcloud projects get-iam-policy project-id \
--flatten="bindings[].members" \
--format="table(bindings.members)" \
--filter="bindings.role:role-id"
Dove:
project-id è l'ID progetto.
role-id è il nome del ruolo per cui vuoi visualizzare le entità.
Ad esempio, per visualizzare tutti gli entità in un progetto a cui è stato concesso il ruolo Visualizzatore progetto Google Cloud, esegui il seguente comando:
gcloud projects get-iam-policy my-project \
--flatten="bindings[].members" \
--format="table(bindings.members)" \
--filter="bindings.role:roles/cloudbuild.builds.viewer"
Creazione di ruoli IAM personalizzati
Per gli utenti che vogliono definire i propri ruoli contenenti set di autorizzazioni da loro specificati, IAM offre ruoli personalizzati. Per istruzioni sulla creazione e sull'utilizzo dei ruoli personalizzati IAM, consulta Creare e gestire i ruoli personalizzati.
Passaggi successivi
- Scopri di più sul service account Cloud Build predefinito.
- Scopri come configurare l'accesso all'account di servizio Cloud Build.
- Scopri le autorizzazioni richieste per visualizzare i log di compilazione.