Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
De forma predeterminada, solo el creador de un proyecto de Google Cloud tiene acceso al proyecto y a sus recursos. Para otorgar acceso a otros usuarios, puedes otorgar funciones de administración de identidades y accesos (IAM) en el proyecto o en un recurso específico de Cloud Build.
En esta página, se describen las formas en que puedes configurar el control de acceso para tus recursos de Cloud Build.
Ingresa la dirección de correo electrónico del usuario o de la cuenta de servicio.
Selecciona la función deseada en el menú desplegable. Las funciones de Cloud Build se encuentran en Cloud Build.
Haga clic en Save.
gcloud
Para otorgarle una función a un miembro, ejecuta el comando add-iam-policy-binding:
gcloud group add-iam-policy-binding resource \
--member=principal --role=role-id
Aquí:
group: Es el grupo de la CLI de gcloud del recurso que deseas actualizar. Por ejemplo, puedes usar proyectos u organizaciones.
resource: el nombre del recurso.
principal: un identificador para el principal, que suele tener el siguiente formato: principal-tipo:id. Por ejemplo, user:my-user@example.com. Para ver una lista completa de los tipos de principal o miembro, consulta la referencia de vinculación de políticas.
role-id: El nombre de la función
Por ejemplo, para otorgarle la función de visualizador de Cloud Build al usuario my-user@example.com en el proyecto my-project, ejecuta este comando:
Para ejecutar los comandos gcloud builds, los usuarios que solo tengan funciones de cloudbuild.builds.viewer o cloudbuild.builds.editor también requieren el permiso serviceusage.services.use. Para otorgarle este permiso al usuario, otórgale la función serviceusage.serviceUsageConsumer.
El usuario con funciones de editor de propietario puede ejecutar comandos gcloud builds sin el permiso serviceusage.services.use adicional.
Permisos para ver los registros de compilación
Para ver los registros de compilación, necesitas permisos adicionales según si almacenas los registros de compilación en el bucket predeterminado de Cloud Storage o en un bucket de Cloud Storage especificado por el usuario. Para obtener más información sobre los permisos necesarios para ver los registros de compilación, consulta Visualiza registros de compilación.
En la tabla de permisos, busca el ID del correo electrónico del principal y haz clic en el ícono de lápiz.
Borra la función que deseas revocar.
Haga clic en Save.
gcloud
Para revocar una función de un usuario, ejecuta el comando remove-iam-policy-binding:
gcloud group remove-iam-policy-binding resource \
--member=principal --role=role-id
Aquí:
group: Es el grupo de la CLI de gcloud del recurso que deseas actualizar. Por ejemplo, puedes usar proyectos u organizaciones.
resource: el nombre del recurso.
principal: un identificador para el principal, que suele tener el siguiente formato: principal-tipo:id. Por ejemplo, user:my-user@example.com. Para ver una lista completa de los tipos de principal o miembro, consulta la referencia de vinculación de políticas.
role-id: El nombre de la función
Por ejemplo, para revocar la función de visualizador de Cloud Build desde el usuario my-user@example.com en el proyecto my-project, ejecuta este comando:
role-id es el nombre de la función de la que deseas ver las principales.
Por ejemplo, para ver todos los principales de un proyecto a los que se les otorga el rol de visualizador del Google Cloud proyecto, ejecuta el siguiente comando:
Para los usuarios que desean definir sus propias funciones que contienen paquetes de permisos que especifican, IAM ofrece funciones personalizadas. Si deseas obtener instrucciones para crear y usar funciones personalizadas de IAM, consulta Crea y administra funciones personalizadas.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-08 (UTC)"],[[["\u003cp\u003eBy default, only the project creator has access, and you can grant access to other users by assigning Identity and Access Management (IAM) roles either at the project level or for specific Cloud Build resources.\u003c/p\u003e\n"],["\u003cp\u003eAccess can be granted to users or service accounts through the Google Cloud console's IAM page or by using the \u003ccode\u003egcloud\u003c/code\u003e command-line tool's \u003ccode\u003eadd-iam-policy-binding\u003c/code\u003e command.\u003c/p\u003e\n"],["\u003cp\u003eUsers with \u003ccode\u003ecloudbuild.builds.viewer\u003c/code\u003e or \u003ccode\u003ecloudbuild.builds.editor\u003c/code\u003e roles need the \u003ccode\u003eserviceusage.services.use\u003c/code\u003e permission to run \u003ccode\u003egcloud builds\u003c/code\u003e commands, which can be granted by assigning them the \u003ccode\u003eserviceusage.serviceUsageConsumer\u003c/code\u003e role.\u003c/p\u003e\n"],["\u003cp\u003eRoles can be revoked using the Google Cloud console by editing permissions on the IAM page, or via the \u003ccode\u003egcloud\u003c/code\u003e tool with the \u003ccode\u003eremove-iam-policy-binding\u003c/code\u003e command.\u003c/p\u003e\n"],["\u003cp\u003eIAM custom roles can be created to bundle specific permissions, but must include the \u003ccode\u003eserviceusage.services.use\u003c/code\u003e permission for Cloud Build custom roles.\u003c/p\u003e\n"]]],[],null,["# Configuring access to Cloud Build resources\n\nBy default, only the creator of a Google Cloud project has access\nto the project and its resources. To grant other users access, you can grant\nIdentity and Access Management (IAM) roles on the project, or on a specific\nCloud Build resource.\n\nThis page describes the ways you can set access control for your\nCloud Build resources.\n\nBefore you begin\n----------------\n\n- Understand the [basic concepts of IAM](/iam/docs/overview).\n- Learn about the [Cloud Build roles and permissions](/build/docs/iam-roles-permissions).\n\nGranting roles on the project\n-----------------------------\n\n### Console\n\n1. Open the IAM page in the Google Cloud console:\n\n [Open the IAM page](https://console.cloud.google.com/iam-admin/roles)\n2. Select your project, and click **Continue**.\n\n3. Click **Grant access**.\n\n4. Enter the user's or service account's email address.\n\n5. Select the desired role from the drop-down menu. Cloud Build\n roles are under **Cloud Build**.\n\n6. Click **Save**.\n\n| **Note:** If you do not see the Cloud Build roles in the drop-down menu, you may need to [enable the Cloud Build\n| API](https://console.cloud.google.com/flows/enableapi?apiid=cloudbuild.googleapis.com&_ga=1.128224844.1904271179.1489680703).\n\n### gcloud\n\nTo grant a role to a principal, run the `add-iam-policy-binding` command: \n\n gcloud \u003cvar translate=\"no\"\u003egroup\u003c/var\u003e add-iam-policy-binding \u003cvar translate=\"no\"\u003eresource\u003c/var\u003e \\\n --member=\u003cvar translate=\"no\"\u003eprincipal\u003c/var\u003e --role=\u003cvar translate=\"no\"\u003erole-id\u003c/var\u003e\n\nWhere:\n\n- \u003cvar translate=\"no\"\u003egroup\u003c/var\u003e: The gcloud CLI group for the resource you\n want to update. For example, you can use projects or organizations.\n\n- \u003cvar translate=\"no\"\u003eresource\u003c/var\u003e: The name of the resource.\n\n- \u003cvar translate=\"no\"\u003eprincipal\u003c/var\u003e: An identifier for the principal, which usually\n has the following form: principal-type:id. For example, user:my-user@example.com.\n For a full list of principal, or member, types, see the\n [Policy Binding reference](/iam/docs/reference/rest/v1/Policy#Binding).\n\n- \u003cvar translate=\"no\"\u003erole-id\u003c/var\u003e: The name of the role.\n\nFor example, to grant the Cloud Build Viewer role to the user\n`my-user@example.com` for the project `my-project`: \n\n gcloud projects add-iam-policy-binding my-project \\\n --member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer\n\nGranting permissions to run gcloud commands\n-------------------------------------------\n\nTo run [`gcloud builds`](/sdk/gcloud/reference/builds) commands, users with only\n`cloudbuild.builds.viewer` or `cloudbuild.builds.editor` roles also require the\n`serviceusage.services.use` permission. To give this permission to the user, grant\nthem the `serviceusage.serviceUsageConsumer` role.\n\nUser with roles/editor and roles/owner roles can run\n[`gcloud builds`](/sdk/gcloud/reference/builds) commands without the additional\n`serviceusage.services.use` permission.\n\nPermissions to view build logs\n------------------------------\n\nTo view build logs, you require additional permissions depending on whether\nyou're storing your build logs in the default Cloud Storage bucket or in\na user-specified Cloud Storage bucket. For more information on permissions\nrequired to view build logs, see [Viewing build logs](/build/docs/securing-builds/store-manage-build-logs#viewing_build_logs).\n\nRevoking roles on the project\n-----------------------------\n\n### Console\n\n1. Open the IAM page in the Google Cloud console:\n\n [Open the IAM page](https://console.cloud.google.com/iam-admin/roles)\n2. Select your project, and click **Continue**.\n\n3. In the permissions table, locate the email ID of the principal and click on the\n pencil icon.\n\n4. Delete the role that you want to revoke.\n\n5. Click **Save**.\n\n### gcloud\n\nTo revoke a role from a user, run the `remove-iam-policy-binding` command: \n\n gcloud \u003cvar translate=\"no\"\u003egroup\u003c/var\u003e remove-iam-policy-binding \u003cvar translate=\"no\"\u003eresource\u003c/var\u003e \\\n --member=\u003cvar translate=\"no\"\u003eprincipal\u003c/var\u003e --role=\u003cvar translate=\"no\"\u003erole-id\u003c/var\u003e\n\nWhere:\n\n- \u003cvar translate=\"no\"\u003egroup\u003c/var\u003e: The gcloud CLI group for the resource you\n want to update. For example, you can use projects or organizations.\n\n- \u003cvar translate=\"no\"\u003eresource\u003c/var\u003e: The name of the resource.\n\n- \u003cvar translate=\"no\"\u003eprincipal\u003c/var\u003e: An identifier for the principal, which usually\n has the following form: principal-type:id. For example, user:my-user@example.com.\n For a full list of principal, or member, types, see the\n [Policy Binding reference](/iam/docs/reference/rest/v1/Policy#Binding).\n\n- \u003cvar translate=\"no\"\u003erole-id\u003c/var\u003e: The name of the role.\n\nFor example, to revoke the Cloud Build Viewer role from the user\n`my-user@example.com` for the project `my-project`: \n\n gcloud projects remove-iam-policy-binding my-project \\\n --member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer\n\nViewing roles on the project\n----------------------------\n\n### Console\n\n1. Open the IAM page in the Google Cloud console:\n\n [Open the IAM page](https://console.cloud.google.com/iam-admin/roles)\n2. Select your project, and click **Continue**.\n\n3. Under **View by** , click **Roles**.\n\n4. To view the principals with a particular role, expand the role name.\n\n### gcloud\n\nTo view all users that are granted a particular role in a Google Cloud project,\nrun the following command: \n\n gcloud projects get-iam-policy \u003cvar translate=\"no\"\u003eproject-id\u003c/var\u003e \\\n --flatten=\"bindings[].members\" \\\n --format=\"table(bindings.members)\" \\\n --filter=\"bindings.role:\u003cvar translate=\"no\"\u003erole-id\u003c/var\u003e\"\n\nWhere:\n\n- \u003cvar translate=\"no\"\u003eproject-id\u003c/var\u003e is your project ID.\n\n- \u003cvar translate=\"no\"\u003erole-id\u003c/var\u003e is the name of the role for which you want\n to view the principals.\n\nFor example, to view all principals in a project that are granted the Google Cloud project\nViewer role, run the following command: \n\n gcloud projects get-iam-policy my-project \\\n --flatten=\"bindings[].members\" \\\n --format=\"table(bindings.members)\" \\\n --filter=\"bindings.role:roles/cloudbuild.builds.viewer\"\n\nCreating IAM custom roles\n-------------------------\n\nFor users that want to define their own roles containing bundles of\npermissions that they specify, IAM offers custom roles. For instructions\non creating and using IAM custom roles, see [Creating and Managing Custom\nRoles](/iam/docs/creating-custom-roles).\n| **Note:** You must include the `serviceusage.services.use` permission in each Cloud Build custom role you create.\n\nWhat's next\n-----------\n\n- Learn about [Default Cloud Build service account](/build/docs/cloud-build-service-account).\n- Learn how to [configure access to Cloud Build service account](/build/docs/securing-builds/configure-access-for-cloud-build-service-account).\n- Learn about [the permissions required to view build logs](/build/docs/securing-builds/store-view-build-logs)."]]
