IAM のロールと権限

Cloud Build でのアクセス制御は、Identity and Access Management(IAM)を使用して制御します。IAM を使用すると、Google Cloud リソースに関する権限を作成し、管理できます。Cloud Build では、事前定義された IAM ロールのセットが用意されています。各ロールには、一連の権限が含まれています。これらのロールを使用すると、特定の Google Cloud リソースへのアクセスを細かく制限し、他のリソースへの不要なアクセスを防ぐことができます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみを付与できます。

このページでは、Cloud Build のロールと権限について説明します。

事前定義された Cloud Build ロール

IAM では、Cloud Build API のすべての API メソッドで、API リクエストを行う ID がリソースの使用に必要な権限を保持していることが要求されます。権限を付与するには、プロジェクトのメンバー(ユーザー、グループ、またはサービス アカウント)にロールを付与するポリシーを設定します。1 人のプロジェクト メンバーに、同一リソースにおける複数のロールを付与できます。

次の表に、Cloud Build IAM のロールとその権限を示します。

役割 説明 権限:
roles/cloudbuild.builds.viewer Cloud Build リソースを表示する cloudbuild.builds.get
cloudbuild.builds.list
roles/cloudbuild.builds.editor Cloud Build リソースのすべてを管理する cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.builds.create
cloudbuild.builds.update

上記の Cloud Build の事前定義ロールに加えて、基本閲覧者、編集者、オーナーのロールには Cloud Build に関連する権限も含まれています。ただし、最小権限のセキュリティ原則に準拠するように、事前定義されたロールを付与することをおすすめします。

次の表に、基本ロールと、それに含まれる Cloud Build IAM ロールを示します。

役割 含まれるロール
roles/viewer roles/cloudbuild.builds.viewer
roles/editor または roles/owner roles/cloudbuild.builds.editor

権限

次の表に、各メソッドを呼び出すために呼び出し元が持っている必要のある権限のリストを示します。

API メソッド 必要な権限 ロールのタイトル
builds.create()
triggers.create()
triggers.patch()
triggers.delete()
triggers.run()
cloudbuild.builds.create Cloud Build 編集者
builds.cancel() cloudbuild.builds.update Cloud Build 編集者
builds.get()
triggers.get()
cloudbuild.builds.get Cloud Build 編集者、Cloud Build 閲覧者
builds.list()
triggers.list()
cloudbuild.builds.list Cloud Build 編集者、Cloud Build 閲覧者

ビルドログを表示する権限

ビルドログを表示するには、ビルドログをデフォルトの Cloud Storage バケットに保存するか、ユーザーが指定した Cloud Storage バケットに保存するかに応じて、追加の権限が必要です。ビルドログの表示に必要な権限の詳細については、ビルドログの保存と表示をご覧ください。

次のステップ