Cloud Build memungkinkan Anda menentukan kebijakan organisasi
(constraints/cloudbuild.allowedIntegrations) untuk mengontrol
layanan eksternal mana yang dapat memanggil pemicu build. Misalnya, jika pemicu Anda memproses perubahan pada repositori GitHub dan GitHub ditolak dalam kebijakan organisasi, pemicu Anda tidak akan berjalan. Anda dapat menentukan jumlah nilai yang diizinkan atau ditolak untuk organisasi atau project Anda.
Halaman ini menjelaskan cara menyiapkan kebijakan organisasi (constraints/cloudbuild.allowedIntegrations)
untuk integrasi menggunakan konsol Google Cloud
dan alat command line gcloud.
Sebelum Memulai
-
Enable the Cloud Build and Organization Policy APIs.
Untuk menggunakan contoh command line dalam panduan ini, instal dan konfigurasikan Google Cloud SDK.
Untuk menetapkan, mengubah, atau menghapus kebijakan organisasi, Anda harus memiliki peran Administrator Kebijakan Organisasi (
roles/orgpolicy.policyAdmin). Untuk mempelajari cara menambahkan peran ke akun Anda, lihat Menambahkan administrator kebijakan organisasi.
Menyiapkan kebijakan organisasi untuk integrasi yang diizinkan
Bagian ini menjelaskan cara menyiapkan kebijakan organisasi
(constraints/cloudbuild.allowedIntegrations) untuk menentukan build untuk
integrasi yang diizinkan.
Konsol
Buka halaman Organization policies di Konsol Google Cloud.
Klik baris yang berisi kebijakan Integrasi yang Diizinkan (Cloud Build).
Anda akan melihat halaman Policy details.
Untuk mengedit kebijakan, klik Edit.
Anda akan melihat halaman Edit policy.
Di bagian Berlaku untuk, pilih Sesuaikan untuk menetapkan definisi kebijakan Anda.
Di bagian Policy enforcement, pilih Replace untuk menentukan aturan Anda sendiri untuk kebijakan. Jika tidak, pilih Gabungkan dengan induk untuk memastikan bahwa aturan di resource induk diterapkan ke setelan Anda. Untuk mempelajari lebih lanjut, lihat Memahami evaluasi hierarki.
Di bagian Aturan, klik Tambahkan aturan untuk menambahkan aturan baru untuk kebijakan Anda.
Di bagian Policy values, pilih Allow all untuk mengizinkan build dari semua layanan, pilih Deny all untuk menolak build dari semua layanan, atau pilih Custom untuk mengizinkan atau menolak build dari layanan tertentu.
Jika Anda memilih Kustom sebagai nilai, selesaikan langkah-langkah berikut:
Di bagian Jenis kebijakan, pilih Izinkan atau Tolak.
Di bagian Nilai kustom, masukkan URL host instance atau repositori yang ingin Anda izinkan atau tolak build-nya. Misalnya, untuk mengizinkan atau menolak build dari GitHub, masukkan URL Anda sebagai
github.comatauwww.github.com.Anda juga dapat memasukkan beberapa URL yang dipisahkan dengan spasi. Contoh,
github.com ghe.staging-test.comBerdasarkan peristiwa, URL host yang Anda tentukan adalah salah satu dari berikut ini:
- Peristiwa RepoSync: Host-nya adalah
source.developers.google.com. - Peristiwa aplikasi GitHub: Host berasal dari kolom
repository.html_urldalam payload JSON Anda, yang selalugithub.com. - Peristiwa GitHub Enterprise: Host berasal dari kolom
repository.html_urldalam payload JSON Anda. Contoh,ghe.staging-test.com. - Peristiwa Pub/Sub: Host berasal dari sumber yang ditentukan dalam pemicu Anda. Jika tidak ada sumber yang ditentukan dalam pemicu, tidak akan ada pemeriksaan kebijakan organisasi.
- Peristiwa webhook: Host berasal dari sumber yang ditentukan dalam pemicu Anda. Jika tidak ada sumber yang ditentukan dalam pemicu, akan ada pemeriksaan kebijakan organisasi.
- Peristiwa RepoSync: Host-nya adalah
Untuk menyimpan aturan, klik Selesai.
Untuk menambahkan aturan lain, klik Tambahkan aturan. Atau, untuk menyimpan kebijakan, klik Simpan.
gcloud
Buka jendela terminal.
Jika Anda ingin mengizinkan atau menolak build dari semua layanan, buat file YAML dengan konten berikut:
name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations spec: inheritFromParent: INHERIT rules: - ALLOW_OR_DENY: trueDengan keterangan:
PROJECT_NUMBERadalah nomor project Anda.INHERITadalahtruejika Anda ingin aturan kebijakan diwarisi dari resource induk. Atau,false.ALLOW_OR_DENYadalahallowAlljika Anda ingin mengizinkan build dari semua URL host. Jika tidak,denyAll.HOST_URLadalah URL host Anda. Contoh,github.com. Anda juga dapat menentukan URL tambahan di baris berikut.
Jika Anda ingin mengizinkan atau menolak build dari layanan yang dipilih, buat file YAML dengan konten berikut:
name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations spec: inheritFromParent: INHERIT rules: - values: ALLOW_OR_DENY: HOST_URL ...Dengan keterangan:
PROJECT_NUMBERadalah nomor project Anda.INHERITadalahtruejika Anda ingin aturan kebijakan diwarisi dari resource induk. Atau,false.ALLOW_OR_DENYadalahallowedValuesjika Anda ingin menentukan URL host untuk mengizinkan build. Atau,deniedValues.HOST_URLadalah URL host Anda. Contoh,github.com. Anda juga dapat menentukan URL tambahan di baris berikut.
Tetapkan kebijakan organisasi Anda dengan menjalankan perintah berikut, dengan FILE_NAME adalah nama file YAML Anda:
gcloud org-policies set-policy FILE_NAMEUntuk mengonfirmasi bahwa kebijakan Anda telah ditetapkan, jalankan perintah berikut, dengan PROJECT_ID adalah project ID Anda:
gcloud org-policies describe cloudbuild.allowedIntegrations --effective --project PROJECT_ID
Menguji kebijakan organisasi untuk integrasi yang diizinkan
Bagian ini menjelaskan cara menguji kebijakan organisasi
(constraints/cloudbuild.allowedIntegrations) menggunakan pemicu build.
Jika Anda belum melakukannya, buat pemicu build.
Kirim perubahan ke sumber Anda.
Jika kebijakan Anda disiapkan untuk mengizinkan build dari sumber, Anda akan dapat melihat eksekusi build dari pemicu di halaman Histori build. Jika tidak, build Anda tidak akan dieksekusi. Untuk melihat histori build yang dibatasi oleh definisi kebijakan Anda, lihat halaman Logs Explorer untuk mengetahui alasan payload JSON dan alasan penolakan.
Langkah selanjutnya
- Pelajari cara membuat dan mengelola pemicu build.
- Pelajari cara mengatur build berdasarkan persetujuan.
- Pelajari izin yang diperlukan untuk melihat log build.
- Pelajari log audit yang dibuat oleh Cloud Build.