Esta página foi traduzida pela API Cloud Translation.

O bloqueio é baseado na política da organização

O Cloud Build permite definir uma política da organização (constraints/cloudbuild.allowedIntegrations) para controlar quais serviços externos podem invocar acionadores de build. Por exemplo, se o gatilho detectar mudanças em um repositório do GitHub e o GitHub for negado na política da organização, o gatilho não será executado. É possível especificar qualquer número de valores permitidos ou negados para sua organização ou projeto.

Esta página explica como configurar a política da organização (constraints/cloudbuild.allowedIntegrations) para integrações usando o console do Google Cloud e a ferramenta de linha de comando gcloud.

Antes de começar

Enable the Cloud Build and Organization Policy APIs.
Enable the APIs
Para usar os exemplos de linha de comando deste guia, instale e configure o SDK do Google Cloud.

Observação: se você já instalou o SDK do Google Cloud, execute gcloud components update para verificar se você tem a versão mais recente disponível.
Para definir, alterar ou excluir uma política da organização, você precisa ter o papel de administrador da política da organização (roles/orgpolicy.policyAdmin). Para saber como adicionar a função à sua conta, consulte Adicionar um administrador de políticas da organização.

Como configurar a política da organização para integrações permitidas

Esta seção explica como configurar a política da organização (constraints/cloudbuild.allowedIntegrations) para definir builds para integrações permitidas.

Console

Abra a página Políticas da organização no console do Google Cloud.

Abrir a página "Políticas da organização"
Clique na linha que contém a política Integrações permitidas (Cloud Build).

A página Detalhes da política vai aparecer.
Para editar a política, clique em Editar.

A página Editar política vai aparecer.
Na seção Aplicável a, selecione Personalizar para definir a definição da política.
Na seção Aplicação da política, selecione Substituir para definir suas próprias regras. Caso contrário, selecione Mesclar com o pai para garantir que as regras no recurso pai sejam aplicadas às suas configurações. Para saber mais, consulte Noções básicas sobre a avaliação da hierarquia.
Na seção Regras, clique em Adicionar regra para adicionar uma nova regra à sua política.
Em Valores da política, selecione Permitir todos para permitir builds de todos os serviços, selecione Negar todos para negar builds de todos os serviços ou selecione Personalizado para permitir ou negar builds de serviços específicos.

Se você selecionar Personalizado como valor, siga estas etapas:
1. Na seção Tipo de política, selecione Permitir ou Negar.
2. Na seção Valores personalizados, insira o URL do host da instância ou do repositório que você quer permitir ou negar builds. Por exemplo, para permitir ou negar builds do GitHub, insira o URL como github.com ou www.github.com.
  
  Também é possível inserir vários URLs separados por um espaço. Por exemplo, github.com ghe.staging-test.com.
  
  Com base no evento, o URL do host especificado é um dos seguintes:
  - Evento RepoSync: o host é source.developers.google.com.
  - Evento do app GitHub: o host é derivado do campo repository.html_url no payload JSON, que é sempre github.com.
  - Evento do GitHub Enterprise: o host é derivado do campo repository.html_url no payload JSON. Por exemplo, ghe.staging-test.com.
  - Evento do Pub/Sub: o host é derivado da origem especificada no gatilho. Se não houver uma origem especificada no acionador, não haverá uma verificação de política da organização.
  - Evento de webhook: o host é derivado da origem especificada no acionador. Se não houver uma origem especificada no acionador, haverá uma verificação da política da organização.
  Observação: é possível inserir qualquer caractere na seção Valores personalizados, exceto dois-pontos (:) e barras (/).
Para salvar a regra, clique em Concluído.
Para adicionar outra regra, clique em Adicionar regra. Caso contrário, para salvar a política, clique em Salvar.

gcloud

Abra uma janela de terminal.
Se você quiser permitir ou negar builds de todos os serviços, crie um arquivo YAML com o seguinte conteúdo:
```
name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
spec:
  inheritFromParent: INHERIT
  rules:
    - ALLOW_OR_DENY: true
```
Em que:
- PROJECT_NUMBER é o número do projeto.
- INHERIT é true se você quiser que as regras de política sejam herdadas do recurso pai. Caso contrário, false.
- ALLOW_OR_DENY é allowAll se você quiser permitir builds de todos os URLs de host. Caso contrário, será denyAll.
- HOST_URL é o URL do host. Por exemplo, github.com. Você também pode especificar outros URLs nas linhas abaixo.
Se você quiser permitir ou negar builds de serviços selecionados, crie um arquivo YAML com o seguinte conteúdo:
```
name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
spec:
  inheritFromParent: INHERIT
  rules:
    - values:
        ALLOW_OR_DENY:
          HOST_URL
          ...
```
Em que:
- PROJECT_NUMBER é o número do projeto.
- INHERIT é true se você quiser que as regras de política sejam herdadas do recurso pai. Caso contrário, false.
- ALLOW_OR_DENY é allowedValues se você quiser especificar URLs de host para permitir builds. Caso contrário, deniedValues.
- HOST_URL é o URL do host. Por exemplo, github.com. Você também pode especificar outros URLs nas linhas abaixo.
Observação: você pode usar qualquer caractere ao especificar o URL do host, exceto dois pontos (:) e barra (/).
Defina a política da organização executando o comando abaixo, em que FILE_NAME é o nome do arquivo YAML:
```
 gcloud org-policies set-policy FILE_NAME
```
Para confirmar se a política foi definida, execute o comando a seguir, em que PROJECT_ID é o ID do projeto:
```
 gcloud org-policies describe cloudbuild.allowedIntegrations --effective --project PROJECT_ID
```

Como testar a política da organização para integrações permitidas

Esta seção explica como testar a política da sua organização (constraints/cloudbuild.allowedIntegrations) usando gatilhos de build.

Crie um acionador de build, caso ainda não tenha feito isso.
Envie uma alteração para a origem.
Se a política estiver configurada para permitir builds da sua origem, você poderá acessar as execuções de build do acionador na página Histórico de builds. Caso contrário, o build não será executado. Para acessar o histórico de builds restritos pela definição da política, consulte a página Logs Explorer para conferir o motivo do payload JSON e o motivo da recusa.

A seguir

Saiba como criar e gerenciar gatilhos de build.
Saiba como bloquear builds na aprovação.
Saiba mais sobre as permissões necessárias para visualizar os registros de versão.
Saiba mais sobre registros de auditoria criados pelo Cloud Build.