Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

IAM-Rollen und -Berechtigungen

Die Zugriffssteuerung in Cloud Build erfolgt mithilfe von Identity and Access Management (IAM). Mit IAM können Sie Berechtigungen für Google Cloud-Ressourcen erstellen und verwalten. Cloud Build bietet einen bestimmten Satz vordefinierter IAM-Rollen, bei denen jede Rolle eine Reihe von Berechtigungen enthält. Mit diesen Rollen können Sie detaillierteren Zugriff auf bestimmte Google Cloud-Ressourcen gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern. Durch IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.

Auf dieser Seite werden Cloud Build-Rollen und -Berechtigungen beschrieben.

Vordefinierte Cloud Build-Rollen

Bei IAM erfordert jede API-Methode in der Cloud Build API, dass die Identität, die die API-Anfrage stellt, über die entsprechenden Berechtigungen zur Verwendung der Ressource verfügt. Berechtigungen werden durch Festlegen von Richtlinien erteilt, die einem Mitglied (Nutzer, Gruppe oder Dienstkonto) Ihres Projekts Rollen zuweisen. Sie können einem Projektmitglied mehrere Rollen für dieselbe Ressource zuweisen.

In der folgenden Tabelle sind die Cloud Build-IAM-Rollen und deren Berechtigungen aufgeführt:

Rolle Beschreibung Berechtigungen:
roles/cloudbuild.builds.viewer Kann Cloud Build-Ressourcen anzeigen cloudbuild.builds.get
cloudbuild.builds.list
roles/cloudbuild.builds.editor Uneingeschränkte Kontrolle über Cloud Build-Ressourcen cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.builds.create
cloudbuild.builds.update

Zusätzlich zu den oben genannten vordefinierten Cloud Build-Rollen enthalten die Rollen einfacher Betrachter, Bearbeiter und Inhaber auch Berechtigungen im Zusammenhang mit Cloud Build. Es empfiehlt sich jedoch, wenn möglich vordefinierte Rollen zuzuweisen, um das Sicherheitsprinzip der geringsten Berechtigung zu einhalten.

In der folgenden Tabelle sind die einfachen Rollen und die darin enthaltenen Cloud Build-IAM-Rollen aufgeführt.

Rolle Umfasst die Rolle
roles/viewer roles/cloudbuild.builds.viewer
roles/editor oder roles/owner roles/cloudbuild.builds.editor

Permissions

In der folgenden Tabelle werden die Berechtigungen aufgeführt, die erforderlich sind, um eine bestimmte Methode aufzurufen:

API-Methode Erforderliche Berechtigung Rollentitel
builds.create()
triggers.create()
triggers.patch()
triggers.delete()
triggers.run()
cloudbuild.builds.create Cloud Build-Bearbeiter
builds.cancel() cloudbuild.builds.update Cloud Build-Bearbeiter
builds.get()
triggers.get()
cloudbuild.builds.get Cloud Build-Bearbeiter, Cloud Build-Betrachter
builds.list()
triggers.list()
cloudbuild.builds.list Cloud Build-Bearbeiter, Cloud Build-Betrachter

Berechtigungen zum Aufrufen von Build-Logs

Zum Aufrufen von Build-Logs benötigen Sie zusätzliche Berechtigungen, je nachdem, ob Sie Ihre Build-Logs im Cloud Storage-Standard-Bucket oder in einem benutzerdefinierten Cloud Storage-Bucket speichern. Weitere Informationen zu Berechtigungen, die zum Aufrufen von Build-Logs erforderlich sind, finden Sie unter Build-Logs speichern und ansehen.

Nächste Schritte