Esta página foi traduzida pela API Cloud Translation.

O bloqueio é baseado na política da organização

Com o Cloud Build, é possível definir uma política da organização (constraints/cloudbuild.allowedIntegrations) para controlar quais serviços externos podem invocar gatilhos de build. Por exemplo, se o gatilho detectar mudanças em um repositório do GitHub e o GitHub for negado na política da organização, o gatilho não será executado. É possível especificar qualquer número de valores permitidos ou negados para sua organização ou projeto.

Nesta página, explicamos como configurar a política da organização (constraints/cloudbuild.allowedIntegrations) para integrações usando o console do Google Cloud e a ferramenta de linha de comando gcloud.

Antes de começar

Enable the Cloud Build and Organization Policy APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
Enable the APIs
Para usar os exemplos de linha de comando deste guia, instale e configure o SDK Google Cloud.

Observação: se você já instalou o SDK Google Cloud, verifique se tem a versão mais recente disponível executando gcloud components update.
Para definir, alterar ou excluir uma política da organização, você precisa ter o papel de Administrador da política da organização (roles/orgpolicy.policyAdmin). Para saber como adicionar a função à sua conta, consulte Adicionar um administrador de política da organização.

Como configurar a política da organização para integrações permitidas

Esta seção explica como configurar a política da organização (constraints/cloudbuild.allowedIntegrations) para definir builds para integrações permitidas.

Console

Abra a página Políticas da organização no console do Google Cloud .

Abra a página "Políticas da organização".
Clique na linha que contém a política Integrações permitidas (Cloud Build).

A página Detalhes da política vai aparecer.
Para editar a política, clique em Editar.

A página Editar política vai aparecer.
Na seção Aplicável a, selecione Personalizar para definir a definição da política.
Na seção Aplicação da política, selecione Substituir para definir suas próprias regras para a política. Caso contrário, selecione Mesclar com pai para garantir que as regras do recurso pai sejam aplicadas às suas configurações. Para saber mais, consulte Noções básicas sobre a avaliação da hierarquia.
Na seção Regras, clique em Adicionar regra para adicionar uma nova regra à sua política.
Em Valores da política, selecione Permitir todos para permitir builds de todos os serviços, Negar todos para negar builds de todos os serviços ou Personalizado para permitir ou negar builds de serviços específicos.

Se você selecionar Personalizado como valor, siga estas etapas:
1. Na seção Tipo de política, selecione Permitir ou Negar.
2. Na seção Valores personalizados, insira o URL do host da instância ou do repositório de que você quer permitir ou negar builds. Por exemplo, para permitir ou negar builds do GitHub, insira o URL como github.com ou www.github.com.
  
  Também é possível inserir vários URLs separados por um espaço. Por exemplo, github.com ghe.staging-test.com.
  
  Com base no evento, o URL do host especificado é um dos seguintes:
  - Evento do RepoSync: o host é source.developers.google.com.
  - Evento do app GitHub: o host é derivado do campo repository.html_url no payload JSON, que é sempre github.com.
  - Evento do GitHub Enterprise: o host é derivado do campo repository.html_url no payload JSON. Por exemplo, ghe.staging-test.com.
  - Evento do Pub/Sub: o host é derivado da origem especificada no gatilho. Se não houver uma origem especificada no gatilho, não haverá uma verificação da política da organização.
  - Evento de webhook: o host é derivado da origem especificada no gatilho. Se não houver uma origem especificada no gatilho, haverá uma verificação da política da organização.
  Observação: é possível inserir qualquer caractere na seção Valores personalizados, exceto dois-pontos (:) e barras (/).
Para salvar a regra, clique em Concluído.
Para adicionar outra regra, clique em Adicionar regra. Caso contrário, para salvar sua política, clique em Salvar.

gcloud

Abra uma janela de terminal.
Se quiser permitir ou negar builds de todos os serviços, crie um arquivo YAML com o seguinte conteúdo:
```
name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
spec:
  inheritFromParent: INHERIT
  rules:
    - ALLOW_OR_DENY: true
```
Em que:
- PROJECT_NUMBER é o número do projeto.
- INHERIT é true se você quiser que as regras da política sejam herdadas do recurso pai. Caso contrário, false.
- ALLOW_OR_DENY é allowAll se você quiser permitir builds de todos os URLs de host. Caso contrário, denyAll.
- HOST_URL é o URL do host. Por exemplo, github.com. Você também pode especificar outros URLs nas linhas abaixo.
Se você quiser permitir ou negar builds de serviços selecionados, crie um arquivo YAML com o seguinte conteúdo:
```
name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
spec:
  inheritFromParent: INHERIT
  rules:
    - values:
        ALLOW_OR_DENY:
          HOST_URL
          ...
```
Em que:
- PROJECT_NUMBER é o número do projeto.
- INHERIT é true se você quiser que as regras da política sejam herdadas do recurso pai. Caso contrário, false.
- ALLOW_OR_DENY é allowedValues se você quiser especificar URLs de host para permitir builds. Caso contrário, deniedValues.
- HOST_URL é o URL do host. Por exemplo, github.com. Você também pode especificar outros URLs nas linhas abaixo.
Observação: você pode usar qualquer caractere ao especificar o URL do host, exceto dois-pontos (:) e barras (/).
Defina a política da organização executando o seguinte comando, em que FILE_NAME é o nome do arquivo YAML:
```
 gcloud org-policies set-policy FILE_NAME
```
Para confirmar que a política foi definida, execute o comando a seguir, em que PROJECT_ID é o ID do projeto:
```
 gcloud org-policies describe cloudbuild.allowedIntegrations --effective --project PROJECT_ID
```

Como testar a política da organização para integrações permitidas

Esta seção explica como testar sua política da organização (constraints/cloudbuild.allowedIntegrations) usando gatilhos de build.

Se você ainda não tiver feito isso, crie um gatilho de build.
Envie uma mudança para sua origem.
Se a política estiver configurada para permitir builds da sua origem, será possível ver as execuções de build do gatilho na página Histórico de builds. Caso contrário, o build não será executado. Para ver o histórico de builds restritos pela definição de política, consulte a página do Explorador de registros para saber o motivo do payload JSON e da recusa.

A seguir

Saiba como criar e gerenciar gatilhos de build.
Aprenda a bloquear builds na aprovação.
Saiba mais sobre as permissões necessárias para visualizar os registros de versão.
Saiba mais sobre registros de auditoria criados pelo Cloud Build.