基于组织政策的门控构建

在 Google Cloud 控制台中打开组织政策页面。

打开“组织政策”页面

点击包含允许的集成 (Cloud Build) 政策的行。

您将看到政策详情页面。

如需修改此政策，请点击修改。

您将看到修改政策页面。

在应用对象部分，选择自定义以设置 政策定义

在强制执行政策部分中，选择替换以为该政策定义自己的规则。否则，请选择与父级合并，以确保将父级资源中的规则应用于您的设置。如需了解详情，请参阅了解层次结构评估。

在规则部分，点击添加规则以添加新的规则 您的政策。

在政策值下，选择全部允许以允许来自所有服务的 build，选择全部拒绝以拒绝来自所有服务的 build，或者选择自定义以允许或拒绝来自特定服务的 build。

如果您选择自定义作为值，请完成以下步骤：

1. 在政策类型部分中，选择允许或拒绝。

2. 在自定义值部分中，输入实例的主机网址 或代码库。例如，如需允许或拒绝从 GitHub 构建，请将网址输入为 github.com 或 www.github.com。

   您还可以输入多个网址，以空格分隔。例如，github.com ghe.staging-test.com。

   根据事件，您指定的主机网址是其中一个 以下：

   • RepoSync 事件：主机为 source.developers.google.com。
   • GitHub 应用事件：主机派生自 JSON 载荷中的 repository.html_url 字段，该字段始终为 github.com。
   • GitHub Enterprise 事件：主机派生自 JSON 载荷中的 repository.html_url 字段。例如 ghe.staging-test.com。
   • Pub/Sub 事件：主机派生自来源 。如果您的触发器中未指定来源，系统不会进行组织政策检查。
   • 网络钩子事件：主机派生自来源 。如果您的触发器中未指定来源，系统会进行组织政策检查。

如需保存规则，请点击完成。

如需添加其他规则，请点击添加规则。否则，如需保存政策，请点击保存。

打开一个终端窗口。

如果您想允许或禁止来自所有服务的 build，请创建一个内容如下所示的 YAML 文件：

name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
spec:
  inheritFromParent: INHERIT
  rules:
    - ALLOW_OR_DENY: true

其中：

• PROJECT_NUMBER 是您的项目编号。
• 如果您希望政策规则生效，请将INHERIT设为true 必须从父资源继承否则为 false。
• ALLOW_OR_DENY是 allowAll 以允许从所有主机网址进行构建。否则为 denyAll。
• HOST_URL 是您的主机网址。例如 github.com。您还可以在以下行中指定其他网址。

如果您想允许或禁止从所选服务构建，请创建一个 YAML 文件，其中包含以下内容：

name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
spec:
  inheritFromParent: INHERIT
  rules:
    - values:
        ALLOW_OR_DENY:
          HOST_URL
          ...

其中：

• PROJECT_NUMBER 是您的项目编号。
• 如果您希望政策规则生效，请将INHERIT设为true 必须从父资源继承否则，false。
• 如果您想指定允许构建的托管网址，ALLOW_OR_DENY 为 allowedValues。否则，deniedValues。
• HOST_URL 是您的主机网址。例如 github.com。您还可以在 代码。

通过运行以下命令设置组织政策，其中 FILE_NAME 是 YAML 文件的名称：

 gcloud org-policies set-policy FILE_NAME

如需确认您的政策是否已设置，请运行以下命令，其中 PROJECT_ID 是您的项目 ID：

 gcloud org-policies describe cloudbuild.allowedIntegrations --effective --project PROJECT_ID