Cloud Build vous permet de définir une règle d'administration (constraints/cloudbuild.allowedIntegrations
) pour contrôler les services externes qui peuvent appeler des déclencheurs de compilation. Par exemple, si votre déclencheur écoute les modifications apportées à un dépôt GitHub et que GitHub est refusé dans la règle d'administration, votre déclencheur ne sera pas exécuté. Vous pouvez spécifier un nombre illimité de valeurs autorisées ou refusées pour votre organisation ou votre projet.
Cette page explique comment configurer la règle d'administration (constraints/cloudbuild.allowedIntegrations
) pour les intégrations à l'aide de la console Google Cloud et de l'outil de ligne de commande gcloud
.
Avant de commencer
-
Activer les API Cloud Build and Organization Policy.
Pour utiliser les exemples de ligne de commande de ce guide, installez et configurez le SDK Google Cloud.
Pour définir, modifier ou supprimer une règle d'administration, vous devez disposer du rôle Administrateur des règles d'administration (
roles/orgpolicy.policyAdmin
). Pour savoir comment ajouter le rôle à votre compte, consultez Ajouter un administrateur des règles d'administration.
Configurer une règle d'administration pour les intégrations autorisées
Cette section explique comment configurer la règle d'administration (constraints/cloudbuild.allowedIntegrations
) pour définir des builds pour les intégrations autorisées.
Console
Ouvrez la page Règles d'administration dans la console Google Cloud.
Cliquez sur la ligne contenant la règle Intégrations autorisées (Cloud Build).
La page Détails des règles s'affiche.
Pour modifier la règle, cliquez sur Modifier.
La page Modifier la règle s'affiche.
Dans la section S'applique à, sélectionnez Personnaliser pour définir la définition de votre règle.
Dans la section Application des règles, sélectionnez Remplacer pour définir vos propres règles. Sinon, sélectionnez Merge with parent (Fusionner avec le parent) pour vous assurer que les règles de la ressource parente sont appliquées à vos paramètres. Pour en savoir plus, consultez Comprendre l'évaluation hiérarchique.
Dans la section Règles, cliquez sur Ajouter une règle pour ajouter une nouvelle règle à votre stratégie.
Sous Valeurs de règle, sélectionnez Tout autoriser pour autoriser les compilations de tous les services, Refuser tout pour refuser les compilations de tous les services, ou Personnalisé pour autoriser ou refuser les compilations à partir de services spécifiques.
Si vous sélectionnez Personnalisée, procédez comme suit:
Dans la section Type de règle, sélectionnez Autoriser ou Refuser.
Dans la section Valeurs personnalisées, saisissez l'URL hôte de l'instance ou du dépôt à partir duquel vous souhaitez autoriser ou refuser les compilations. Par exemple, pour autoriser ou refuser les compilations depuis GitHub, saisissez votre URL
github.com
ouwww.github.com
.Vous pouvez également saisir plusieurs URL en les séparant par un espace. (par exemple,
github.com ghe.staging-test.com
)En fonction de l'événement, l'URL d'hôte que vous spécifiez est l'une des suivantes:
- Événement RepoSync: l'hôte est
source.developers.google.com
. - Événement d'application GitHub: l'hôte est dérivé du champ
repository.html_url
de votre charge utile JSON, qui est toujoursgithub.com
. - Événement GitHub Enterprise: l'hôte est dérivé du champ
repository.html_url
de votre charge utile JSON. Par exemple,ghe.staging-test.com
. - Événement Pub/Sub: l'hôte est dérivé de la source spécifiée dans votre déclencheur. Si aucune source n'est spécifiée dans votre déclencheur, les règles d'administration ne sont pas vérifiées.
- Événement de webhook: l'hôte est dérivé de la source spécifiée dans votre déclencheur. Si aucune source n'est spécifiée dans votre déclencheur, les règles d'administration sont vérifiées.
- Événement RepoSync: l'hôte est
Pour enregistrer votre règle, cliquez sur OK.
Pour ajouter une autre règle, cliquez sur Ajouter une règle. Sinon, pour enregistrer votre règle, cliquez sur Enregistrer.
gcloud
Ouvrez une fenêtre de terminal.
Si vous souhaitez autoriser ou refuser les compilations depuis tous les services, créez un fichier YAML avec le contenu suivant:
name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations spec: inheritFromParent: INHERIT rules: - ALLOW_OR_DENY: true
Où :
PROJECT_NUMBER
est le numéro de votre projet.INHERIT
est défini surtrue
si vous souhaitez que les règles de stratégie soient héritées de la ressource parente. Sinon, cette valeur estfalse
.ALLOW_OR_DENY
est défini surallowAll
si vous souhaitez autoriser les compilations à partir de toutes les URL hôtes. Sinon, vous devez utiliserdenyAll
.HOST_URL
est l'URL de votre hôte. Exemple :github.com
. Vous pouvez également spécifier des URL supplémentaires sur les lignes suivantes.
Si vous souhaitez autoriser ou refuser les compilations à partir de services sélectionnés, créez un fichier YAML avec le contenu suivant:
name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations spec: inheritFromParent: INHERIT rules: - values: ALLOW_OR_DENY: HOST_URL ...
Où :
PROJECT_NUMBER
est le numéro de votre projet.INHERIT
est défini surtrue
si vous souhaitez que les règles de stratégie soient héritées de la ressource parente. Sinon, cette valeur estfalse
.ALLOW_OR_DENY
estallowedValues
si vous souhaitez spécifier des URL d'hôte à partir desquelles autoriser les compilations. Sinon, cette valeur estdeniedValues
.HOST_URL
est l'URL de votre hôte. Exemple :github.com
. Vous pouvez également spécifier des URL supplémentaires sur les lignes suivantes.
Pour définir votre règle d'administration, exécutez la commande suivante, où FILE_NAME est le nom de votre fichier YAML:
gcloud org-policies set-policy FILE_NAME
Pour vérifier que votre stratégie a bien été définie, exécutez la commande suivante, où PROJECT_ID correspond à l'ID de votre projet:
gcloud org-policies describe cloudbuild.allowedIntegrations --effective --project PROJECT_ID
Tester la règle d'administration pour les intégrations autorisées
Cette section explique comment tester votre règle d'administration (constraints/cloudbuild.allowedIntegrations
) à l'aide de déclencheurs de compilation.
Si vous ne l'avez pas déjà fait, créez un déclencheur de compilation.
Appliquez une modification à votre source.
Si votre règle est configurée pour autoriser les compilations à partir de votre source, vous pouvez afficher les exécutions de compilation à partir de votre déclencheur sur la page Historique de compilation. Sinon, votre compilation ne s'exécutera pas. Pour afficher l'historique des compilations limitées par votre définition de règle, consultez la page Explorateur de journaux pour connaître le motif de la charge utile JSON et le motif du refus.
Étapes suivantes
- Découvrez comment créer et gérer des déclencheurs de compilation.
- Découvrez comment contrôler les builds après approbation.
- Apprenez-en plus sur les autorisations requises pour afficher les journaux de compilation.
- Découvrez les journaux d'audit créés par Cloud Build.