门限基于组织政策

借助 Cloud Build,您可以定义组织政策 (constraints/cloudbuild.allowedIntegrations) 来控制哪些外部服务可以调用 build 触发器。例如,如果您的触发器监听 GitHub 代码库的更改,而组织政策中禁止使用 GitHub,则您的触发器将不会运行。您可以为组织或项目指定任意数量的允许或禁止值。

本页介绍了如何使用 Google Cloud 控制台和 gcloud 命令行工具为集成设置组织政策 (constraints/cloudbuild.allowedIntegrations)。

准备工作

  • Enable the Cloud Build and Organization Policy APIs.

    Enable the APIs

  • 如需使用本指南中的命令行示例,请安装并配置 Google Cloud SDK

  • 如需设置、更改或删除组织政策,您必须拥有“Organization Policy Administrator”(组织政策管理员)(roles/orgpolicy.policyAdmin) 角色。如需了解如何向您的账号添加此角色,请参阅添加组织政策管理员

为允许的集成设置组织政策

本部分介绍了如何设置组织政策 (constraints/cloudbuild.allowedIntegrations),以便为允许的集成定义 build。

控制台

  1. 打开 Google Cloud 控制台中的组织政策页面。

    打开“组织政策”页面

  2. 点击包含允许的集成 (Cloud Build) 政策的行。

    您会看到政策详情页面。

  3. 如需修改政策,请点击修改

    您将看到修改政策页面。

  4. 应用对象部分,选择自定义以设置政策的定义。

  5. 强制执行政策部分中,选择替换,为该政策定义您自己的规则。否则,请选择与父级合并,以确保将父级资源中的规则应用于您的设置。如需了解详情,请参阅了解层次结构评估

  6. 规则部分中,点击添加规则,为您的政策添加新规则。

  7. 政策值下,选择全部允许以允许来自所有服务的 build,选择全部拒绝以拒绝来自所有服务的 build,或者选择自定义以允许或拒绝来自特定服务的 build。

    如果您选择自定义作为值,请完成以下步骤:

    1. 政策类型部分中,选择允许拒绝

    2. 自定义值部分中,输入您要允许或禁止从中进行构建的实例或代码库的主机网址。例如,如需允许或拒绝从 GitHub 构建,请将网址输入为 github.comwww.github.com

      您还可以输入多个网址,以空格分隔。例如,github.com ghe.staging-test.com

      根据事件,您指定的主机网址为以下之一:

      • RepoSync 事件:主机为 source.developers.google.com
      • GitHub 应用事件:主机派生自 JSON 载荷中的 repository.html_url 字段,该字段始终为 github.com
      • GitHub Enterprise 事件:主机派生自 JSON 载荷中的 repository.html_url 字段。例如 ghe.staging-test.com
      • Pub/Sub 事件:主机派生自触发器中指定的来源。如果您的触发器中未指定来源,系统不会进行组织政策检查。
      • Webhook 事件:主机派生自触发器中指定的来源。如果您的触发器中未指定来源,系统会进行组织政策检查。
  8. 如需保存规则,请点击完成

  9. 如需添加其他规则,请点击添加规则。否则,如需保存政策,请点击保存

gcloud

  1. 打开一个终端窗口。

  2. 如果您想允许或禁止来自所有服务的 build,请创建一个内容如下的 YAML 文件:

    name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
    spec:
      inheritFromParent: INHERIT
      rules:
        - ALLOW_OR_DENY: true
    

    其中:

    • PROJECT_NUMBER 是您的项目编号。
    • 如果您希望政策规则从父级资源继承,则 INHERITtrue。否则,false
    • 如果您想允许从所有主机网址构建 build,则 ALLOW_OR_DENYallowAll;否则,为 denyAll
    • HOST_URL 是您的主机网址。例如 github.com。您还可以在以下行中指定其他网址。

    如果您想允许或禁止从所选服务构建项目,请创建一个 YAML 文件,其中包含以下内容:

    name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
    spec:
      inheritFromParent: INHERIT
      rules:
        - values:
            ALLOW_OR_DENY:
              HOST_URL
              ...
    

    其中:

    • PROJECT_NUMBER 是您的项目编号。
    • 如果您希望政策规则从父级资源继承,则 INHERITtrue。否则,false
    • 如果您想指定允许构建的托管网址,ALLOW_OR_DENYallowedValues。否则,deniedValues
    • HOST_URL 是您的主机网址。例如 github.com。您还可以在以下行中指定其他网址。
  3. 运行以下命令设置组织政策,其中 FILE_NAME 是 YAML 文件的名称:

     gcloud org-policies set-policy FILE_NAME
    
  4. 如需确认您的政策是否已设置,请运行以下命令,其中 PROJECT_ID 是您的项目 ID:

     gcloud org-policies describe cloudbuild.allowedIntegrations --effective --project PROJECT_ID
    

测试允许的集成所需的组织政策

本部分介绍了如何使用 build 触发器测试组织政策 (constraints/cloudbuild.allowedIntegrations)。

  1. 如果尚未创建构建触发器,请创建构建触发器

  2. 将更改推送到源代码。

  3. 如果您的政策设置为允许从来源构建,您将能够在构建历史记录页面上查看触发器的构建执行情况。否则,系统将不会执行您的 build。如需查看受您的政策定义限制的 build 的历史记录,请参阅 Logs Explorer 页面,了解 JSON 载荷原因和拒绝原因。

后续步骤