此页面由 Cloud Translation API 翻译。

门限基于组织政策

借助 Cloud Build，您可以定义组织政策 (constraints/cloudbuild.allowedIntegrations) 来控制哪些外部服务可以调用 build 触发器。例如，如果您的触发器监听 GitHub 代码库的更改，而组织政策中禁止使用 GitHub，则您的触发器将不会运行。您可以为组织或项目指定任意数量的允许或禁止值。

本页介绍了如何使用 Google Cloud 控制台和 gcloud 命令行工具为集成设置组织政策 (constraints/cloudbuild.allowedIntegrations)。

准备工作

Enable the Cloud Build and Organization Policy APIs.
Enable the APIs
如需使用本指南中的命令行示例，请安装并配置 Google Cloud SDK。

注意：如果您之前安装了 Google Cloud SDK，请运行 gcloud components update 以确保您使用的是最新版本。
如需设置、更改或删除组织政策，您必须拥有“Organization Policy Administrator”（组织政策管理员）(roles/orgpolicy.policyAdmin) 角色。如需了解如何向您的账号添加此角色，请参阅添加组织政策管理员。

为允许的集成设置组织政策

本部分介绍了如何设置组织政策 (constraints/cloudbuild.allowedIntegrations)，以便为允许的集成定义 build。

控制台

打开 Google Cloud 控制台中的组织政策页面。

打开“组织政策”页面
点击包含允许的集成 (Cloud Build) 政策的行。

您会看到政策详情页面。
如需修改政策，请点击修改。

您将看到修改政策页面。
在应用对象部分，选择自定义以设置政策的定义。
在强制执行政策部分中，选择替换，为该政策定义您自己的规则。否则，请选择与父级合并，以确保将父级资源中的规则应用于您的设置。如需了解详情，请参阅了解层次结构评估。
在规则部分中，点击添加规则，为您的政策添加新规则。
在政策值下，选择全部允许以允许来自所有服务的 build，选择全部拒绝以拒绝来自所有服务的 build，或者选择自定义以允许或拒绝来自特定服务的 build。

如果您选择自定义作为值，请完成以下步骤：
1. 在政策类型部分中，选择允许或拒绝。
2. 在自定义值部分中，输入您要允许或禁止从中进行构建的实例或代码库的主机网址。例如，如需允许或拒绝从 GitHub 构建，请将网址输入为 github.com 或 www.github.com。
  
  您还可以输入多个网址，以空格分隔。例如，github.com ghe.staging-test.com。
  
  根据事件，您指定的主机网址为以下之一：
  - RepoSync 事件：主机为 source.developers.google.com。
  - GitHub 应用事件：主机派生自 JSON 载荷中的 repository.html_url 字段，该字段始终为 github.com。
  - GitHub Enterprise 事件：主机派生自 JSON 载荷中的 repository.html_url 字段。例如 ghe.staging-test.com。
  - Pub/Sub 事件：主机派生自触发器中指定的来源。如果您的触发器中未指定来源，系统不会进行组织政策检查。
  - Webhook 事件：主机派生自触发器中指定的来源。如果您的触发器中未指定来源，系统会进行组织政策检查。
  注意：您可以在自定义值部分输入任何字符，但英文冒号 (:) 和正斜线 (/) 除外。
如需保存规则，请点击完成。
如需添加其他规则，请点击添加规则。否则，如需保存政策，请点击保存。

gcloud

打开一个终端窗口。
如果您想允许或禁止来自所有服务的 build，请创建一个内容如下的 YAML 文件：
```
name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
spec:
  inheritFromParent: INHERIT
  rules:
    - ALLOW_OR_DENY: true
```
其中：
- PROJECT_NUMBER 是您的项目编号。
- 如果您希望政策规则从父级资源继承，则 INHERIT 为 true。否则，false。
- 如果您想允许从所有主机网址构建 build，则 ALLOW_OR_DENY 为 allowAll；否则，为 denyAll。
- HOST_URL 是您的主机网址。例如 github.com。您还可以在以下行中指定其他网址。
如果您想允许或禁止从所选服务构建项目，请创建一个 YAML 文件，其中包含以下内容：
```
name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
spec:
  inheritFromParent: INHERIT
  rules:
    - values:
        ALLOW_OR_DENY:
          HOST_URL
          ...
```
其中：
- PROJECT_NUMBER 是您的项目编号。
- 如果您希望政策规则从父级资源继承，则 INHERIT 为 true。否则，false。
- 如果您想指定允许构建的托管网址，ALLOW_OR_DENY 为 allowedValues。否则，deniedValues。
- HOST_URL 是您的主机网址。例如 github.com。您还可以在以下行中指定其他网址。
注意：指定主机网址时，您可以使用除英文冒号 (:) 和正斜线 (/) 以外的任何字符。
运行以下命令设置组织政策，其中 FILE_NAME 是 YAML 文件的名称：
```
 gcloud org-policies set-policy FILE_NAME
```
如需确认您的政策是否已设置，请运行以下命令，其中 PROJECT_ID 是您的项目 ID：
```
 gcloud org-policies describe cloudbuild.allowedIntegrations --effective --project PROJECT_ID
```

测试允许的集成所需的组织政策

本部分介绍了如何使用 build 触发器测试组织政策 (constraints/cloudbuild.allowedIntegrations)。

如果尚未创建构建触发器，请创建构建触发器。
将更改推送到源代码。
如果您的政策设置为允许从来源构建，您将能够在构建历史记录页面上查看触发器的构建执行情况。否则，系统将不会执行您的 build。如需查看受您的政策定义限制的 build 的历史记录，请参阅 Logs Explorer 页面，了解 JSON 载荷原因和拒绝原因。