Por padrão, somente o criador de um projeto do Google Cloud tem acesso ao projeto e aos recursos dele. Para conceder acesso a outros usuários, é possível conceder papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês) no projeto ou em um recurso específico do Cloud Build.
Nesta página, descrevemos como configurar o controle de acesso dos recursos do Cloud Build.
Antes de começar
- Noções básicas sobre os conceitos básicos do IAM.
- Saiba mais sobre os papéis e permissões do Cloud Build.
Como atribuir papéis no projeto
Console
Abra a página do IAM no Console do Cloud:
Selecione o projeto e clique em Continuar.
Clique em Adicionar.
Digite o endereço de e-mail da conta de serviço ou do usuário.
Selecione o papel desejado no menu suspenso. Os papéis do Cloud Build estão em Cloud Build.
Clique em Save.
gcloud
Para conceder um papel a um principal, execute o comando add-iam-policy-binding
:
gcloud group add-iam-policy-binding resource \
--member=principal --role=role-id
Em que:
group: o grupo da CLI gcloud do recurso que você quer atualizar. Por exemplo, é possível usar projetos ou organizações.
resource: o nome do recurso.
principal: um identificador para o principal, que geralmente tem o seguinte formato: principal-type:id. Por exemplo: user:my-user@example.com. Para ver uma lista completa dos tipos principal ou de membro, consulte a referência de vinculação de políticas.
role-id: o nome do papel.
Por exemplo, para conceder o papel de visualizador do Cloud Build ao usuário my-user@example.com
do projeto my-project
:
gcloud projects add-iam-policy-binding my-project \
--member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer
Como conceder permissões para executar comandos gcloud
Para executar comandos gcloud builds
, apenas usuários com papéis cloudbuild.builds.viewer
ou cloudbuild.builds.editor
também precisam da permissão serviceusage.services.use
. Para conceder essa permissão ao usuário, conceda a ele o papel serviceusage.serviceUsageConsumer
.
O usuário com papéis/editor e papéis/proprietário pode executar comandos gcloud builds
sem a permissão serviceusage.services.use
adicional.
Como revogar papéis no projeto
Console
Abra a página do IAM no Console do Cloud:
Selecione o projeto e clique em Continuar.
Na tabela de permissões, localize o ID de e-mail do principal e clique no ícone de lápis.
Exclua o papel que você quer revogar.
Clique em Save.
gcloud
Para revogar um papel de um usuário, execute o comando remove-iam-policy-binding
:
gcloud group remove-iam-policy-binding resource \
--member=principal --role=role-id
Em que:
group: o grupo da CLI gcloud do recurso que você quer atualizar. Por exemplo, é possível usar projetos ou organizações.
resource: o nome do recurso.
principal: um identificador para o principal, que geralmente tem o seguinte formato: principal-type:id. Por exemplo: user:my-user@example.com. Para ver uma lista completa dos tipos principal ou de membro, consulte a referência de vinculação de políticas.
role-id: o nome do papel.
Por exemplo, para revogar o papel de visualizador do Cloud Build do usuário my-user@example.com
para o projeto my-project
:
gcloud projects remove-iam-policy-binding my-project \
--member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer
Como visualizar papéis no projeto
Console
Abra a página do IAM no Console do Cloud:
Selecione o projeto e clique em Continuar.
Em Ver por, clique em Papéis.
Para ver os principais com um papel específico, expanda o nome da função.
gcloud
Para visualizar todos os usuários que recebem um papel específico em um projeto do Cloud, execute o comando a seguir:
gcloud projects get-iam-policy project-id \
--flatten="bindings[].members" \
--format="table(bindings.members)" \
--filter="bindings.role:role-id"
Em que:
project-id é o ID do projeto;
role-id é o nome do papel em que você quer ver os principais.
Por exemplo, para visualizar todos os principais em um projeto que receberam o papel de leitor do projeto do Cloud, execute o seguinte comando:
gcloud projects get-iam-policy my-project \
--flatten="bindings[].members" \
--format="table(bindings.members)" \
--filter="bindings.role:roles/cloudbuild.builds.viewer"
Como criar papéis personalizados do IAM
Para usuários que querem definir os próprios papéis contendo pacotes de permissões que eles especificam, o IAM oferece papéis personalizados. Para instruções sobre como criar e usar papéis personalizados do IAM, consulte Como criar e gerenciar papéis personalizados.
A seguir
- Saiba mais sobre a conta de serviço do Cloud Build.
- Saiba como configurar o acesso à conta de serviço do Cloud Build.
- Saiba mais sobre as permissões necessárias para visualizar os registros de versão.