基于组织政策的门控构建

在 Google Cloud 控制台中打开组织政策页面。

打开“组织政策”页面

点击包含允许的集成 (Cloud Build) 政策的行。

您会看到政策详情页面。

如需修改此政策，请点击修改。

您将看到修改政策页面。

在应用对象部分，选择自定义以设置 政策定义

在强制执行政策部分中，选择替换以定义 设置您自己的政策规则否则，请选择与父级合并，以确保将父级资源中的规则应用于您的设置。如需了解详情，请参阅了解层次结构评估。

在规则部分，点击添加规则以添加新的规则 您的政策。

在政策值下，选择全部允许以允许构建 选择全部拒绝即可拒绝来自所有服务的构建 服务，或者选择自定义以允许或拒绝 特定服务。

如果您选择自定义作为值，请完成以下步骤：

1. 在政策类型部分，选择允许或拒绝。

2. 在自定义值部分中，输入您要允许或禁止从中进行构建的实例或代码库的主机网址。例如： 要允许或拒绝来自 GitHub 的构建，请输入 github.com 的网址 或 www.github.com。

   您还可以输入多个网址，以空格分隔。例如，github.com ghe.staging-test.com。

   根据事件，您指定的主机网址为以下之一：

   • RepoSync 事件：主机为 source.developers.google.com。
   • GitHub 应用事件：主机派生自 repository.html_url 字段 （始终为 github.com）。
   • GitHub Enterprise 事件：主机派生自 repository.html_url 字段 。例如 ghe.staging-test.com。
   • Pub/Sub 事件：主机派生自来源 。如果没有来源 因此没有组织 政策检查。
   • Webhook 事件：主机派生自触发器中指定的来源。如果没有来源 还是在触发器中指定了 政策检查。

要保存规则，请点击完成。

如需添加其他规则，请点击添加规则。否则，要保存 点击 Save（保存）。

打开一个终端窗口。

如果要允许或拒绝来自所有服务的构建，请创建一个 YAML 文件，其中包含以下内容：

name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
spec:
  inheritFromParent: INHERIT
  rules:
    - ALLOW_OR_DENY: true

其中：

• PROJECT_NUMBER 是您的项目编号。
• 如果您希望政策规则从父级资源继承，则 INHERIT 为 true。否则为 false。
• 如果您想允许从所有主机网址构建 build，则 ALLOW_OR_DENY 为 allowAll；否则，为 denyAll。
• HOST_URL 是您的主机网址。例如 github.com。您还可以在 代码。

如果要允许或拒绝基于所选服务的构建，请创建一个 YAML 文件，其中包含以下内容：

name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
spec:
  inheritFromParent: INHERIT
  rules:
    - values:
        ALLOW_OR_DENY:
          HOST_URL
          ...

其中：

• PROJECT_NUMBER 是您的项目编号。
• 如果您希望政策规则生效，请将INHERIT设为true 必须从父资源继承否则为 false。
• ALLOW_OR_DENY是 allowedValues 指定允许构建的主机网址。否则为 deniedValues。
• HOST_URL 是您的主机网址。例如 github.com。您还可以在 代码。

通过运行以下命令设置组织政策，其中 FILE_NAME 是 YAML 文件的名称：

 gcloud org-policies set-policy FILE_NAME

如需确认政策已设置，请运行以下命令： 其中，PROJECT_ID 是您的项目 ID：

 gcloud org-policies describe cloudbuild.allowedIntegrations --effective --project PROJECT_ID