Configurazione dell'accesso alle risorse Cloud Build

Per impostazione predefinita, solo l'autore di un progetto Google Cloud può accedere al progetto e alle sue risorse. Per concedere l'accesso ad altri utenti, puoi concedere ruoli di Identity and Access Management (IAM) nel progetto o in una specifica risorsa di Cloud Build.

Questa pagina descrive i modi in cui puoi impostare il controllo dell'accesso per le tue risorse Cloud Build.

Prima di iniziare

Concessione di ruoli nel progetto

console

  1. Apri la pagina IAM nella console:

    Apri la pagina IAM

  2. Seleziona il progetto e fai clic su Continua.

  3. Fai clic su Aggiungi.

  4. Inserisci l'indirizzo email dell'utente o dell'account di servizio.

  5. Seleziona il ruolo desiderato dal menu a discesa. I ruoli di Cloud Build sono in Cloud Build.

  6. Fai clic su Salva.

gcloud

Per concedere un ruolo a un'entità, esegui il comando add-iam-policy-binding:

gcloud group add-iam-policy-binding resource \
    --member=principal --role=role-id

Dove:

  • group: il gruppo dell'interfaccia a riga di comando gcloud per la risorsa che vuoi aggiornare. Ad esempio, puoi utilizzare progetti o organizzazioni.

  • resource: il nome della risorsa.

  • principal: un identificatore per l'entità, che di solito ha il seguente formato: entità-type:id. Ad esempio, utente:utente-example@example.com. Per un elenco completo dei tipi di entità o membri, consulta il riferimento sull'associazione dei criteri.

  • role-id: il nome del ruolo.

Ad esempio, per concedere il ruolo Visualizzatore Cloud Build all'utente my-user@example.com per il progetto my-project:

gcloud projects add-iam-policy-binding my-project \
    --member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer

Concessione delle autorizzazioni per eseguire i comandi gcloud

Per eseguire i comandi gcloud builds, gli utenti con solo i ruoli cloudbuild.builds.viewer o cloudbuild.builds.editor richiedono l'autorizzazione serviceusage.services.use. Per concedere questa autorizzazione all'utente, assegnagli il ruolo serviceusage.serviceUsageConsumer.

L'utente con ruoli/Editor e Ruoli/Proprietario può eseguire i comandi gcloud builds senza l'autorizzazione aggiuntiva serviceusage.services.use.

Autorizzazioni per visualizzare i log di build

Per visualizzare i log di build, sono necessarie autorizzazioni aggiuntive a seconda che tu stia archiviando i log di build nel bucket Cloud Storage predefinito o in un bucket Cloud Storage specificato dall'utente. Per ulteriori informazioni sulle autorizzazioni necessarie per visualizzare i log di build, consulta la sezione Visualizzare i log di build.

Revoca dei ruoli nel progetto

console

  1. Apri la pagina IAM nella console:

    Apri la pagina IAM

  2. Seleziona il progetto e fai clic su Continua.

  3. Nella tabella delle autorizzazioni, individua l'ID email dell'entità e fai clic sull'icona a forma di matita.

  4. Elimina il ruolo che vuoi revocare.

  5. Fai clic su Salva.

gcloud

Per revocare un ruolo da un utente, esegui il comando remove-iam-policy-binding:

gcloud group remove-iam-policy-binding resource \
    --member=principal --role=role-id

Dove:

  • group: il gruppo dell'interfaccia a riga di comando gcloud per la risorsa che vuoi aggiornare. Ad esempio, puoi utilizzare progetti o organizzazioni.

  • resource: il nome della risorsa.

  • principal: un identificatore per l'entità, che di solito ha il seguente formato: entità-type:id. Ad esempio, utente:utente-example@example.com. Per un elenco completo dei tipi di entità o membri, consulta il riferimento sull'associazione dei criteri.

  • role-id: il nome del ruolo.

Ad esempio, per revocare il ruolo Visualizzatore Cloud Build dall'utente my-user@example.com per il progetto my-project:

gcloud projects remove-iam-policy-binding my-project \
    --member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer

Visualizzazione dei ruoli nel progetto

console

  1. Apri la pagina IAM nella console:

    Apri la pagina IAM

  2. Seleziona il progetto e fai clic su Continua.

  3. Nella sezione Visualizza per, fai clic su Ruoli.

  4. Per visualizzare le entità con un ruolo specifico, espandi il nome del ruolo.

gcloud

Per visualizzare tutti gli utenti a cui è stato assegnato un ruolo specifico in un progetto Cloud, esegui il comando seguente:

gcloud projects get-iam-policy project-id \
    --flatten="bindings[].members" \
    --format="table(bindings.members)" \
    --filter="bindings.role:role-id"

Dove:

  • project-id è l'ID progetto.

  • role-id è il nome del ruolo per il quale vuoi visualizzare le entità.

Ad esempio, per visualizzare tutte le entità in un progetto a cui è stato concesso il ruolo Visualizzatore progetto Cloud, esegui il comando seguente:

gcloud projects get-iam-policy my-project \
    --flatten="bindings[].members" \
    --format="table(bindings.members)" \
    --filter="bindings.role:roles/cloudbuild.builds.viewer"

Creazione di ruoli personalizzati IAM

Per gli utenti che vogliono definire i propri ruoli contenenti pacchetti di autorizzazioni specificati, IAM offre ruoli personalizzati. Per istruzioni sulla creazione e l'utilizzo dei ruoli personalizzati IAM, consulta Creazione e gestione dei ruoli personalizzati.

Passaggi successivi