Configurazione dell'accesso alle risorse Cloud Build
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Per impostazione predefinita, solo il creatore di un Google Cloud progetto ha accesso al progetto e alle sue risorse. Per concedere l'accesso ad altri utenti, puoi assegnare ruoli di Identity and Access Management (IAM) al progetto o a una risorsa Cloud Build specifica.
Questa pagina descrive i modi in cui puoi impostare il controllo dell'accesso per le risorse Cloud Build.
Inserisci l'indirizzo email dell'utente o dell'account di servizio.
Seleziona il ruolo che preferisci dal menu a discesa. I ruoli Cloud Build
si trovano in Cloud Build.
Fai clic su Salva.
gcloud
Per concedere un ruolo a un entità, esegui il comando add-iam-policy-binding:
gcloud group add-iam-policy-binding resource \
--member=principal --role=role-id
Dove:
group: il gruppo dell'interfaccia a riga di comando gcloud per la risorsa che vuoi aggiornare. Ad esempio, puoi utilizzare progetti o organizzazioni.
resource: il nome della risorsa.
principal: un identificatore per l'entità, che in genere ha la seguente forma: principal-type:id. Ad esempio, utente:mio-utente@example.com.
Per un elenco completo dei tipi di entità o membri, consulta la
documentazione di riferimento sul vincolo dei criteri.
role-id: il nome del ruolo.
Ad esempio, per concedere il ruolo Visualizzatore Cloud Build all'utentemy-user@example.com per il progetto my-project:
Concedere le autorizzazioni per eseguire i comandi gcloud
Per eseguire i comandi gcloud builds, gli utenti con solo ruoli cloudbuild.builds.viewer o cloudbuild.builds.editor richiedono anche l'autorizzazione serviceusage.services.use. Per concedere questa autorizzazione all'utente, assegnagli il ruolo serviceusage.serviceUsageConsumer.
L'utente con i ruoli Editor e Proprietario può eseguire i comandi gcloud builds senza l'autorizzazione aggiuntiva serviceusage.services.use.
Autorizzazioni per visualizzare i log di compilazione
Per visualizzare i log di compilazione, sono necessarie autorizzazioni aggiuntive a seconda che tu li archivi nel bucket Cloud Storage predefinito o in un bucket Cloud Storage specificato dall'utente. Per ulteriori informazioni sulle autorizzazioni necessarie per visualizzare i log di compilazione, consulta Visualizzazione dei log di compilazione.
Nella tabella delle autorizzazioni, individua l'ID indirizzo email dell'entità e fai clic sull'icona a forma di matita.
Elimina il ruolo che vuoi revocare.
Fai clic su Salva.
gcloud
Per revocare un ruolo a un utente, esegui il comando remove-iam-policy-binding:
gcloud group remove-iam-policy-binding resource \
--member=principal --role=role-id
Dove:
group: il gruppo dell'interfaccia a riga di comando gcloud per la risorsa che vuoi aggiornare. Ad esempio, puoi utilizzare progetti o organizzazioni.
resource: il nome della risorsa.
principal: un identificatore per l'entità, che in genere ha la seguente forma: principal-type:id. Ad esempio, utente:mio-utente@example.com.
Per un elenco completo dei tipi di entità o membri, consulta la
documentazione di riferimento sul vincolo dei criteri.
role-id: il nome del ruolo.
Ad esempio, per revocare il ruolo Visualizzatore Cloud Build all'utentemy-user@example.com per il progetto my-project:
role-id è il nome del ruolo per cui vuoi visualizzare le entità.
Ad esempio, per visualizzare tutti i principali di un progetto a cui è stato concesso il Google Cloud ruolo visualizzatore progetto, esegui il seguente comando:
Per gli utenti che vogliono definire i propri ruoli contenenti set di autorizzazioni da loro specificati, IAM offre ruoli personalizzati. Per istruzioni sulla creazione e sull'utilizzo dei ruoli personalizzati IAM, consulta Creare e gestire i ruoli personalizzati.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[[["\u003cp\u003eBy default, only the project creator has access, and you can grant access to other users by assigning Identity and Access Management (IAM) roles either at the project level or for specific Cloud Build resources.\u003c/p\u003e\n"],["\u003cp\u003eAccess can be granted to users or service accounts through the Google Cloud console's IAM page or by using the \u003ccode\u003egcloud\u003c/code\u003e command-line tool's \u003ccode\u003eadd-iam-policy-binding\u003c/code\u003e command.\u003c/p\u003e\n"],["\u003cp\u003eUsers with \u003ccode\u003ecloudbuild.builds.viewer\u003c/code\u003e or \u003ccode\u003ecloudbuild.builds.editor\u003c/code\u003e roles need the \u003ccode\u003eserviceusage.services.use\u003c/code\u003e permission to run \u003ccode\u003egcloud builds\u003c/code\u003e commands, which can be granted by assigning them the \u003ccode\u003eserviceusage.serviceUsageConsumer\u003c/code\u003e role.\u003c/p\u003e\n"],["\u003cp\u003eRoles can be revoked using the Google Cloud console by editing permissions on the IAM page, or via the \u003ccode\u003egcloud\u003c/code\u003e tool with the \u003ccode\u003eremove-iam-policy-binding\u003c/code\u003e command.\u003c/p\u003e\n"],["\u003cp\u003eIAM custom roles can be created to bundle specific permissions, but must include the \u003ccode\u003eserviceusage.services.use\u003c/code\u003e permission for Cloud Build custom roles.\u003c/p\u003e\n"]]],[],null,["# Configuring access to Cloud Build resources\n\nBy default, only the creator of a Google Cloud project has access\nto the project and its resources. To grant other users access, you can grant\nIdentity and Access Management (IAM) roles on the project, or on a specific\nCloud Build resource.\n\nThis page describes the ways you can set access control for your\nCloud Build resources.\n\nBefore you begin\n----------------\n\n- Understand the [basic concepts of IAM](/iam/docs/overview).\n- Learn about the [Cloud Build roles and permissions](/build/docs/iam-roles-permissions).\n\nGranting roles on the project\n-----------------------------\n\n### Console\n\n1. Open the IAM page in the Google Cloud console:\n\n [Open the IAM page](https://console.cloud.google.com/iam-admin/roles)\n2. Select your project, and click **Continue**.\n\n3. Click **Grant access**.\n\n4. Enter the user's or service account's email address.\n\n5. Select the desired role from the drop-down menu. Cloud Build\n roles are under **Cloud Build**.\n\n6. Click **Save**.\n\n| **Note:** If you do not see the Cloud Build roles in the drop-down menu, you may need to [enable the Cloud Build\n| API](https://console.cloud.google.com/flows/enableapi?apiid=cloudbuild.googleapis.com&_ga=1.128224844.1904271179.1489680703).\n\n### gcloud\n\nTo grant a role to a principal, run the `add-iam-policy-binding` command: \n\n gcloud \u003cvar translate=\"no\"\u003egroup\u003c/var\u003e add-iam-policy-binding \u003cvar translate=\"no\"\u003eresource\u003c/var\u003e \\\n --member=\u003cvar translate=\"no\"\u003eprincipal\u003c/var\u003e --role=\u003cvar translate=\"no\"\u003erole-id\u003c/var\u003e\n\nWhere:\n\n- \u003cvar translate=\"no\"\u003egroup\u003c/var\u003e: The gcloud CLI group for the resource you\n want to update. For example, you can use projects or organizations.\n\n- \u003cvar translate=\"no\"\u003eresource\u003c/var\u003e: The name of the resource.\n\n- \u003cvar translate=\"no\"\u003eprincipal\u003c/var\u003e: An identifier for the principal, which usually\n has the following form: principal-type:id. For example, user:my-user@example.com.\n For a full list of principal, or member, types, see the\n [Policy Binding reference](/iam/docs/reference/rest/v1/Policy#Binding).\n\n- \u003cvar translate=\"no\"\u003erole-id\u003c/var\u003e: The name of the role.\n\nFor example, to grant the Cloud Build Viewer role to the user\n`my-user@example.com` for the project `my-project`: \n\n gcloud projects add-iam-policy-binding my-project \\\n --member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer\n\nGranting permissions to run gcloud commands\n-------------------------------------------\n\nTo run [`gcloud builds`](/sdk/gcloud/reference/builds) commands, users with only\n`cloudbuild.builds.viewer` or `cloudbuild.builds.editor` roles also require the\n`serviceusage.services.use` permission. To give this permission to the user, grant\nthem the `serviceusage.serviceUsageConsumer` role.\n\nUser with roles/editor and roles/owner roles can run\n[`gcloud builds`](/sdk/gcloud/reference/builds) commands without the additional\n`serviceusage.services.use` permission.\n\nPermissions to view build logs\n------------------------------\n\nTo view build logs, you require additional permissions depending on whether\nyou're storing your build logs in the default Cloud Storage bucket or in\na user-specified Cloud Storage bucket. For more information on permissions\nrequired to view build logs, see [Viewing build logs](/build/docs/securing-builds/store-manage-build-logs#viewing_build_logs).\n\nRevoking roles on the project\n-----------------------------\n\n### Console\n\n1. Open the IAM page in the Google Cloud console:\n\n [Open the IAM page](https://console.cloud.google.com/iam-admin/roles)\n2. Select your project, and click **Continue**.\n\n3. In the permissions table, locate the email ID of the principal and click on the\n pencil icon.\n\n4. Delete the role that you want to revoke.\n\n5. Click **Save**.\n\n### gcloud\n\nTo revoke a role from a user, run the `remove-iam-policy-binding` command: \n\n gcloud \u003cvar translate=\"no\"\u003egroup\u003c/var\u003e remove-iam-policy-binding \u003cvar translate=\"no\"\u003eresource\u003c/var\u003e \\\n --member=\u003cvar translate=\"no\"\u003eprincipal\u003c/var\u003e --role=\u003cvar translate=\"no\"\u003erole-id\u003c/var\u003e\n\nWhere:\n\n- \u003cvar translate=\"no\"\u003egroup\u003c/var\u003e: The gcloud CLI group for the resource you\n want to update. For example, you can use projects or organizations.\n\n- \u003cvar translate=\"no\"\u003eresource\u003c/var\u003e: The name of the resource.\n\n- \u003cvar translate=\"no\"\u003eprincipal\u003c/var\u003e: An identifier for the principal, which usually\n has the following form: principal-type:id. For example, user:my-user@example.com.\n For a full list of principal, or member, types, see the\n [Policy Binding reference](/iam/docs/reference/rest/v1/Policy#Binding).\n\n- \u003cvar translate=\"no\"\u003erole-id\u003c/var\u003e: The name of the role.\n\nFor example, to revoke the Cloud Build Viewer role from the user\n`my-user@example.com` for the project `my-project`: \n\n gcloud projects remove-iam-policy-binding my-project \\\n --member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer\n\nViewing roles on the project\n----------------------------\n\n### Console\n\n1. Open the IAM page in the Google Cloud console:\n\n [Open the IAM page](https://console.cloud.google.com/iam-admin/roles)\n2. Select your project, and click **Continue**.\n\n3. Under **View by** , click **Roles**.\n\n4. To view the principals with a particular role, expand the role name.\n\n### gcloud\n\nTo view all users that are granted a particular role in a Google Cloud project,\nrun the following command: \n\n gcloud projects get-iam-policy \u003cvar translate=\"no\"\u003eproject-id\u003c/var\u003e \\\n --flatten=\"bindings[].members\" \\\n --format=\"table(bindings.members)\" \\\n --filter=\"bindings.role:\u003cvar translate=\"no\"\u003erole-id\u003c/var\u003e\"\n\nWhere:\n\n- \u003cvar translate=\"no\"\u003eproject-id\u003c/var\u003e is your project ID.\n\n- \u003cvar translate=\"no\"\u003erole-id\u003c/var\u003e is the name of the role for which you want\n to view the principals.\n\nFor example, to view all principals in a project that are granted the Google Cloud project\nViewer role, run the following command: \n\n gcloud projects get-iam-policy my-project \\\n --flatten=\"bindings[].members\" \\\n --format=\"table(bindings.members)\" \\\n --filter=\"bindings.role:roles/cloudbuild.builds.viewer\"\n\nCreating IAM custom roles\n-------------------------\n\nFor users that want to define their own roles containing bundles of\npermissions that they specify, IAM offers custom roles. For instructions\non creating and using IAM custom roles, see [Creating and Managing Custom\nRoles](/iam/docs/creating-custom-roles).\n| **Note:** You must include the `serviceusage.services.use` permission in each Cloud Build custom role you create.\n\nWhat's next\n-----------\n\n- Learn about [Default Cloud Build service account](/build/docs/cloud-build-service-account).\n- Learn how to [configure access to Cloud Build service account](/build/docs/securing-builds/configure-access-for-cloud-build-service-account).\n- Learn about [the permissions required to view build logs](/build/docs/securing-builds/store-view-build-logs)."]]
