Cette page a été traduite par l'API Cloud Translation.

Le contrôle d'accès s'appuie sur les règles d'administration de l'organisation.

Cloud Build vous permet de définir une règle d'administration (constraints/cloudbuild.allowedIntegrations) pour contrôler les services externes pouvant appeler des déclencheurs de compilation. Par exemple, si votre déclencheur écoute les modifications apportées à un dépôt GitHub et que GitHub est refusé dans le règlement de l'organisation, votre déclencheur ne s'exécutera pas. Vous pouvez spécifier un nombre illimité de valeurs autorisées ou refusées pour votre organisation ou votre projet.

Cette page explique comment configurer la stratégie d'administration de l'organisation (constraints/cloudbuild.allowedIntegrations) pour les intégrations à l'aide de la console Google Cloud et de l'outil de ligne de commande gcloud.

Avant de commencer

Enable the Cloud Build and Organization Policy APIs.
Enable the APIs
Pour utiliser les exemples de ligne de commande de ce guide, installez et configurez le SDK Google Cloud.

Remarque :Si vous avez déjà installé le SDK Google Cloud, assurez-vous de disposer de la dernière version disponible en exécutant gcloud components update.
Pour définir, modifier ou supprimer une règle d'administration, vous devez disposer du rôle Administrateur de règle d'administration (roles/orgpolicy.policyAdmin). Pour savoir comment ajouter ce rôle à votre compte, consultez Ajouter un administrateur de règles d'administration.

Configurer une règle d'administration pour les intégrations autorisées

Cette section explique comment configurer la règle d'administration de l'organisation (constraints/cloudbuild.allowedIntegrations) pour définir des builds pour les intégrations autorisées.

Console

Ouvrez la page Règles d'administration dans la console Google Cloud.

Ouvrir la page "Règles d'administration"
Cliquez sur la ligne contenant la règle Intégrations autorisées (Cloud Build).

La page Détails de la règle s'affiche.
Pour modifier la règle, cliquez sur Modifier.

La page Modifier la règle s'affiche.
Dans la section Appliquer à, sélectionnez Personnaliser pour définir la définition de votre règle.
Dans la section Application des règles, sélectionnez Remplacer pour définir vos propres règles pour la stratégie. Dans le cas contraire, sélectionnez Fusionner avec le parent pour vous assurer que les règles de la ressource parente sont appliquées à vos paramètres. Pour en savoir plus, consultez Comprendre le processus d'évaluation hiérarchique.
Dans la section Règles, cliquez sur Ajouter une règle pour ajouter une règle à votre stratégie.
Sous Valeurs de règles, sélectionnez Tout autoriser pour autoriser les builds de tous les services, Tout refuser pour refuser les builds de tous les services ou Personnalisé pour autoriser ou refuser les builds de services spécifiques.

Si vous sélectionnez Personnalisé comme valeur, procédez comme suit:
1. Dans la section Type de règle, sélectionnez Autoriser ou Refuser.
2. Dans la section Valeurs personnalisées, saisissez l'URL de l'hôte de l'instance ou du dépôt à partir duquel vous souhaitez autoriser ou refuser les builds. Par exemple, pour autoriser ou refuser les compilations à partir de GitHub, saisissez github.com ou www.github.com comme URL.
  
  Vous pouvez également saisir plusieurs URL séparées par un espace. (par exemple, github.com ghe.staging-test.com)
  
  En fonction de l'événement, l'URL d'hôte que vous spécifiez est l'une des suivantes:
  - Événement RepoSync: l'hôte est source.developers.google.com.
  - Événement de l'application GitHub: l'hôte est dérivé du champ repository.html_url de votre charge utile JSON, qui est toujours github.com.
  - Événement GitHub Enterprise: l'hôte est dérivé du champ repository.html_url de votre charge utile JSON. Exemple :ghe.staging-test.com
  - Événement Pub/Sub: l'hôte est dérivé de la source spécifiée dans votre déclencheur. Si aucune source n'est spécifiée dans votre déclencheur, aucune vérification des règles de l'organisation n'est effectuée.
  - Événement de webhook: l'hôte est dérivé de la source spécifiée dans votre déclencheur. Si aucune source n'est spécifiée dans votre déclencheur, une vérification des règles de l'organisation est effectuée.
  Remarque :Vous pouvez saisir n'importe quel caractère dans la section Valeurs personnalisées, à l'exception des deux-points (:) et des barres obliques (/).
Pour enregistrer votre règle, cliquez sur OK.
Pour ajouter une autre règle, cliquez sur Ajouter une règle. Sinon, pour enregistrer votre règle, cliquez sur Enregistrer.

gcloud

Ouvrez une fenêtre de terminal.
Si vous souhaitez autoriser ou refuser les compilations de tous les services, créez un fichier YAML contenant les éléments suivants:
```
name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
spec:
  inheritFromParent: INHERIT
  rules:
    - ALLOW_OR_DENY: true
```
Où :
- PROJECT_NUMBER est le numéro de votre projet.
- INHERIT est true si vous souhaitez que vos règles de stratégie soient héritées de la ressource parente. Dans le cas contraire, false.
- ALLOW_OR_DENY est allowAll si vous souhaitez autoriser les builds à partir de toutes les URL d'hôte. Sinon, denyAll.
- HOST_URL est l'URL de votre hôte. Exemple : github.com. Vous pouvez également spécifier d'autres URL sur les lignes suivantes.
Si vous souhaitez autoriser ou refuser les builds à partir de services sélectionnés, créez un fichier YAML contenant les éléments suivants:
```
name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
spec:
  inheritFromParent: INHERIT
  rules:
    - values:
        ALLOW_OR_DENY:
          HOST_URL
          ...
```
Où :
- PROJECT_NUMBER est le numéro de votre projet.
- INHERIT est true si vous souhaitez que vos règles de stratégie soient héritées de la ressource parente. Dans le cas contraire, false.
- ALLOW_OR_DENY est allowedValues si vous souhaitez spécifier des URL d'hôte à partir desquelles autoriser les builds. Dans le cas contraire, deniedValues.
- HOST_URL est l'URL de votre hôte. Exemple : github.com. Vous pouvez également spécifier d'autres URL sur les lignes suivantes.
Remarque :Vous pouvez utiliser n'importe quel caractère lorsque vous spécifiez l'URL de l'hôte, à l'exception des deux-points (:) et des barres obliques (/).
Définissez votre règle d'administration en exécutant la commande suivante, où FILE_NAME correspond au nom de votre fichier YAML:
```
 gcloud org-policies set-policy FILE_NAME
```
Pour vérifier que votre stratégie a été définie, exécutez la commande suivante, où PROJECT_ID correspond à l'ID de votre projet:
```
 gcloud org-policies describe cloudbuild.allowedIntegrations --effective --project PROJECT_ID
```

Tester la règle d'administration pour les intégrations autorisées

Cette section explique comment tester votre règle d'administration (constraints/cloudbuild.allowedIntegrations) à l'aide de déclencheurs de compilation.

Si ce n'est pas déjà fait, créez un déclencheur de compilation.
Appliquez une modification à votre source.
Si votre règle est configurée pour autoriser les compilations à partir de votre source, vous pourrez afficher les exécutions de compilation à partir de votre déclencheur sur la page Historique des compilations. Sinon, votre compilation ne s'exécutera pas. Pour afficher l'historique des builds limités par la définition de votre règle, consultez la page Explorateur de journaux pour connaître la raison de la charge utile JSON et le motif du refus.

Étape suivante

Découvrez comment créer et gérer des déclencheurs de compilation.
Découvrez comment bloquer les builds en cas d'approbation.
Apprenez-en plus sur les autorisations requises pour afficher les journaux de compilation.
Découvrez les journaux d'audit créés par Cloud Build.