Cette page a été traduite par l'API Cloud Translation.

Le contrôle d'accès s'appuie sur les règles d'administration de l'organisation.

Cloud Build vous permet de définir une règle d'administration (constraints/cloudbuild.allowedIntegrations) pour contrôler les services externes pouvant appeler des déclencheurs de compilation. Par exemple : si votre déclencheur écoute les modifications apportées à un dépôt GitHub et GitHub est refusé dans la règle d'administration, votre déclencheur ne s'exécutera pas. Vous pouvez spécifier n'importe quel nombre de valeurs autorisées ou refusées pour votre organisation ou votre projet.

Cette page explique comment configurer la stratégie d'administration de l'organisation (constraints/cloudbuild.allowedIntegrations) pour les intégrations à l'aide de la console Google Cloud et de l'outil de ligne de commande gcloud.

Avant de commencer

Enable the Cloud Build and Organization Policy APIs.
Enable the APIs
Pour utiliser les exemples de ligne de commande de ce guide, installez et configurez le SDK Google Cloud.

Remarque : Si vous avez déjà installé le SDK Google Cloud, assurez-vous de disposer de la dernière version disponible en exécutant gcloud components update.
Pour définir, modifier ou supprimer une règle d'administration, vous devez disposer du rôle Administrateur de règle d'administration (roles/orgpolicy.policyAdmin). À pour savoir comment l'ajouter à votre compte, consultez Ajouter un administrateur des règles d'administration.

Configurer une règle d'administration pour les intégrations autorisées

Cette section explique comment configurer la règle d'administration (constraints/cloudbuild.allowedIntegrations) pour définir des compilations les intégrations autorisées.

Console

Ouvrez la page Règles d'administration dans la console Google Cloud.

Ouvrir la page "Règles d'administration"
Cliquez sur la ligne contenant la règle Allowed Integrations (Cloud Build) (Intégrations autorisées (Cloud Build)).

La page Détails de la règle s'affiche.
Pour modifier la règle, cliquez sur Modifier.

La page Modifier la règle s'affiche.
Dans la section Appliquer à, sélectionnez Personnaliser pour définir la définition de votre règle.
Dans la section Application des règles, sélectionnez Remplacer pour définir vos propres règles pour la stratégie. Dans le cas contraire, sélectionnez Fusionner avec le parent pour vous assurer que les règles de la ressource parente sont appliquées à vos paramètres. Pour en savoir plus, consultez Comprendre le processus d'évaluation hiérarchique.
Dans la section Règles, cliquez sur Ajouter une règle pour ajouter une règle votre stratégie.
Sous Valeurs des règles, sélectionnez Tout autoriser pour autoriser les compilations. de tous les services, sélectionnez Deny all (Tout refuser) pour refuser les compilations de tous services, ou sélectionnez Personnalisé pour autoriser ou refuser les compilations depuis des services spécifiques.

Si vous sélectionnez Personnalisée comme valeur, procédez comme suit:
1. Dans la section Type de règle, sélectionnez Autoriser ou Refuser.
2. Dans la section Valeurs personnalisées, saisissez l'URL de l'hôte de l'instance. d'autorisation ou de refus des compilations. Par exemple : pour autoriser ou refuser les compilations depuis GitHub, saisissez github.com ou www.github.com.
  
  Vous pouvez également saisir plusieurs URL en les séparant par un espace. (par exemple, github.com ghe.staging-test.com)
  
  En fonction de l'événement, l'URL d'hôte que vous spécifiez est l'une des suivantes:
  - Événement RepoSync : l'hôte est source.developers.google.com.
  - Événement d'application GitHub: l'hôte est dérivé du champ repository.html_url dans votre charge utile JSON, qui est toujours github.com.
  - Événement GitHub Enterprise : l'hôte est dérivé du champ repository.html_url de votre charge utile JSON. Exemple :ghe.staging-test.com
  - Événement Pub/Sub : l'hôte est dérivé de la source spécifiée dans votre déclencheur. Si aucune source n'est spécifiée dans votre déclencheur, aucune vérification des règles de l'organisation n'est effectuée.
  - Événement de webhook: l'hôte est dérivé de la source spécifié dans votre déclencheur. Si aucune source n'est spécifiée dans votre déclencheur, une vérification des règles de l'organisation est effectuée.
  Remarque : Vous pouvez saisir n'importe quel caractère dans la section Valeurs personnalisées, à l'exception des deux-points (:) et des barres obliques (/).
Pour enregistrer votre règle, cliquez sur OK.
Pour ajouter une autre règle, cliquez sur Ajouter une règle. Sinon, pour enregistrer votre règle, cliquez sur Enregistrer.

gcloud

Ouvrez une fenêtre de terminal.
Si vous souhaitez autoriser ou refuser les compilations de tous les services, créez un fichier YAML contenant les éléments suivants :
```
name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
spec:
  inheritFromParent: INHERIT
  rules:
    - ALLOW_OR_DENY: true
```
Où :
- PROJECT_NUMBER est le numéro de votre projet.
- INHERIT est défini sur true si vous souhaitez que vos règles de stratégie soient définies. doit être héritée de la ressource parente. Sinon, la valeur est false.
- ALLOW_OR_DENY est défini sur allowAll si vous le souhaitez. pour autoriser les compilations à partir de toutes les URL hôtes. Sinon, denyAll.
- HOST_URL est l'URL de votre hôte. Exemple : github.com. Vous pouvez également spécifier des URL supplémentaires pour les éléments suivants : lignes.
Si vous souhaitez autoriser ou refuser les compilations à partir des services sélectionnés, créez un fichier YAML contenant le code suivant:
```
name: projects/PROJECT_NUMBER/policies/cloudbuild.allowedIntegrations
spec:
  inheritFromParent: INHERIT
  rules:
    - values:
        ALLOW_OR_DENY:
          HOST_URL
          ...
```
Où :
- PROJECT_NUMBER est le numéro de votre projet.
- INHERIT est true si vous souhaitez que vos règles de stratégie soient héritées de la ressource parente. Sinon, la valeur est false.
- ALLOW_OR_DENY est allowedValues si vous souhaitez spécifier des URL d'hôte à partir desquelles autoriser les builds. Dans le cas contraire, deniedValues.
- HOST_URL est l'URL de votre hôte. Exemple : github.com. Vous pouvez également spécifier des URL supplémentaires pour les éléments suivants : lignes.
Remarque :Vous pouvez utiliser n'importe quel caractère pour indiquer l'URL de votre hôte. à l'exception des deux-points (:) et des barres obliques (/).
Définissez votre règle d'administration en exécutant la commande suivante, où FILE_NAME correspond au nom de votre fichier YAML :
```
 gcloud org-policies set-policy FILE_NAME
```
Pour vérifier que votre stratégie a été définie, exécutez la commande suivante, où PROJECT_ID correspond à l'ID de votre projet :
```
 gcloud org-policies describe cloudbuild.allowedIntegrations --effective --project PROJECT_ID
```

Tester la règle d'administration pour les intégrations autorisées

Cette section explique comment tester votre règle d'administration (constraints/cloudbuild.allowedIntegrations) à l'aide de déclencheurs de compilation.

Si vous ne l'avez pas déjà fait, créez un déclencheur de compilation.
Appliquez une modification à votre source.
Si votre règle est configurée pour autoriser les compilations à partir de votre source, vous pourrez afficher les exécutions de compilation à partir de votre déclencheur sur la page Historique des compilations. Sinon, votre compilation ne s'exécutera pas. Pour afficher l'historique des builds limités par la définition de votre règle, consultez la page Explorateur de journaux pour connaître la raison de la charge utile JSON et le motif du refus.

Étape suivante

Découvrez comment créer et gérer des déclencheurs de compilation.
Découvrez comment bloquer les builds en cas d'approbation.
Apprenez-en plus sur les autorisations requises pour afficher les journaux de compilation.
Découvrez les journaux d'audit créés par Cloud Build.