Questa pagina è stata tradotta dall'API Cloud Translation.

La compilazione del gate si basa sui criteri dell'organizzazione

Cloud Build ti consente di definire un criterio dell'organizzazione (constraints/cloudbuild.allowedIntegrations) per controllare quali servizi esterni possono richiamare gli trigger di compilazione. Ad esempio, se l'attivatore è in ascolto per le modifiche a un repository GitHub e GitHub è negato nei criteri dell'organizzazione, l'attivatore non verrà eseguito. Puoi specificare un numero qualsiasi di valori consentiti o vietati per la tua organizzazione o il tuo progetto.

Questa pagina spiega come configurare il criterio dell'organizzazione (constraints/cloudbuild.allowedIntegrations) per le integrazioni utilizzando la console Google Cloud e lo strumento a riga di comando gcloud.

Prima di iniziare

Enable the Cloud Build and Organization Policy APIs.
Enable the APIs
Per utilizzare gli esempi a riga di comando in questa guida, installa e configura Google Cloud SDK.

Nota: se hai già installato Google Cloud SDK, assicurati di avere la versione più recente disponibile eseguendo gcloud components update.
Per impostare, modificare o eliminare un criterio dell'organizzazione, devi disporre del ruolo Amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin). Per sapere come aggiungere il ruolo al tuo account, consulta Aggiungere un amministratore delle norme dell'organizzazione.

Configurazione del criterio dell'organizzazione per le integrazioni consentite

Questa sezione spiega come configurare il criterio dell'organizzazione (constraints/cloudbuild.allowedIntegrations) per definire le build per le integrazioni consentite.

Console

Apri la pagina Norme dell'organizzazione nella console Google Cloud .

Apri la pagina Criteri dell'organizzazione
Fai clic sulla riga contenente il criterio Integrazioni consentite (Cloud Build).

Viene visualizzata la pagina Dettagli norme.
Per modificare il criterio, fai clic su Modifica.

Viene visualizzata la pagina Modifica criterio.
Nella sezione Applicabile a, seleziona Personalizza per impostare la definizione del criterio.
Nella sezione Applicazione criterio, seleziona Sostituisci per definire le tue regole per il criterio. In caso contrario, seleziona Unisci con il padre per assicurarti che le regole della risorsa principale vengano applicate alle tue impostazioni. Per scoprire di più, consulta Informazioni sulla valutazione della gerarchia.
Nella sezione Regole, fai clic su Aggiungi regola per aggiungere una nuova regola per il tuo criterio.
In Valori policy, seleziona Consenti tutto per consentire le build da tutti i servizi, Rifiuta tutto per rifiutare le build da tutti i servizi oppure Personalizzata per consentire o rifiutare le build da servizi specifici.

Se selezioni Personalizzato come valore, completa i seguenti passaggi:
1. Nella sezione Tipo di criterio, seleziona Consenti o Rifiuta.
2. Nella sezione Valori personalizzati, inserisci l'URL host dell'istanza o del repository da cui vuoi consentire o negare le build. Ad esempio, per consentire o negare le build da GitHub, inserisci l'URL come github.com o www.github.com.
  
  Puoi anche inserire più URL separati da uno spazio. Ad esempio, github.com ghe.staging-test.com.
  
  In base all'evento, l'URL host specificato è uno dei seguenti:
  - Evento RepoSync: l'host è source.developers.google.com.
  - Evento dell'app GitHub: l'host è dedotto dal campo repository.html_url nel payload JSON, che è sempre github.com.
  - Evento GitHub Enterprise: l'host è dedotto dal campo repository.html_url nel payload JSON. Ad esempio, ghe.staging-test.com.
  - Evento Pub/Sub: l'host è dedotto dall'origine specificata nell'attivatore. Se non è specificata alcuna origine nell'attivatore, non viene eseguito alcun controllo dei criteri dell'organizzazione.
  - Evento webhook: l'host è dedotto dall'origine specificata nell'attivatore. Se non è specificata alcuna origine nell'attivatore, viene eseguito il controllo dei criteri dell'organizzazione.
  Nota: nella sezione Valori personalizzati puoi inserire qualsiasi carattere, tranne i due punti (:) e le barre (/).
Per salvare la regola, fai clic su Fine.
Per aggiungere un'altra regola, fai clic su Aggiungi regola. In caso contrario, per salvare il criterio, fai clic su Salva.

gcloud

Apri una finestra del terminale.
Se vuoi consentire o negare le build da tutti i servizi, crea un file YAML con i seguenti contenuti:
```
name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
spec:
  inheritFromParent: INHERIT
  rules:
    - ALLOW_OR_DENY: true
```
Dove:
- PROJECT_NUMBER è il numero del progetto.
- INHERIT è true se vuoi che le regole dei criteri siano ereditate dalla risorsa principale. In caso contrario, false.
- ALLOW_OR_DENY è allowAll se vuoi consentire le build da tutti gli URL host. In caso contrario, denyAll.
- HOST_URL è l'URL dell'host. Ad esempio, github.com. Puoi anche specificare altri URL nelle righe seguenti.
Se vuoi consentire o negare le build da servizi selezionati, crea un file YAML con i seguenti contenuti:
```
name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
spec:
  inheritFromParent: INHERIT
  rules:
    - values:
        ALLOW_OR_DENY:
          HOST_URL
          ...
```
Dove:
- PROJECT_NUMBER è il numero del progetto.
- INHERIT è true se vuoi che le regole dei criteri siano ereditate dalla risorsa principale. In caso contrario, false.
- ALLOW_OR_DENY è allowedValues se vuoi specificare gli URL host da cui consentire le build. In caso contrario, deniedValues.
- HOST_URL è l'URL dell'host. Ad esempio, github.com. Puoi anche specificare altri URL nelle righe seguenti.
Nota: quando specifichi l'URL host, puoi utilizzare qualsiasi carattere, ad eccezione dei due punti (:) e delle barre (/).
Imposta il criterio dell'organizzazione eseguendo il seguente comando, dove FILE_NAME è il nome del file YAML:
```
 gcloud org-policies set-policy FILE_NAME
```
Per verificare che il criterio sia stato impostato, esegui il seguente comando, dove PROJECT_ID è l'ID progetto:
```
 gcloud org-policies describe cloudbuild.allowedIntegrations --effective --project PROJECT_ID
```

Test del criterio dell'organizzazione per le integrazioni consentite

Questa sezione spiega come testare il criterio dell'organizzazione (constraints/cloudbuild.allowedIntegrations) utilizzando gli attivatori di compilazione.

Se non lo hai già fatto, crea un attivatore di compilazione.
Esegui il push di una modifica alla sorgente.
Se il criterio è configurato per consentire le build dall'origine, potrai visualizzare le esecuzioni delle build dall'attivatore nella pagina Cronologia build. In caso contrario, la build non verrà eseguita. Per visualizzare la cronologia delle build limitate dalla definizione delle norme, consulta la pagina Logs Explorer per il motivo del payload JSON e il motivo del rifiuto.

Passaggi successivi

Scopri come creare e gestire i trigger di compilazione.
Scopri come configurare le build all'approvazione.
Scopri le autorizzazioni necessarie per visualizzare i log di compilazione.
Scopri di più sugli audit log creati da Cloud Build.