Permissões e papéis do IAM

O controle de acesso no Cloud Build é feito usando o gerenciamento de identidade e acesso (IAM, na sigla em inglês). O IAM permite criar e gerenciar permissões de recursos do Google Cloud. O Cloud Build oferece um conjunto específico de papéis predefinidos do IAM, sendo que cada papel contém um conjunto de permissões. Você pode usar esses papéis para dar acesso mais granular a recursos específicos do Google Cloud e impedir o acesso indesejado a outros recursos. Com o IAM, é possível adotar o princípio de segurança do menor privilégio (em inglês) para conceder apenas o acesso necessário aos recursos.

Nesta página, descrevemos os papéis e as permissões do Cloud Build.

Papéis predefinidos do Cloud Build

Com o IAM, todo método de API na API Cloud Build exige que a identidade que faz a solicitação de API tenha as permissões apropriadas para usar o recurso. As permissões são concedidas pela definição de políticas que concedem papéis a um membro (usuário, grupo ou conta de serviço) do projeto. É possível conceder vários papéis a um membro do projeto no mesmo recurso.

A tabela abaixo lista os papéis do IAM do Cloud Build e as permissões que eles incluem:

Role Descrição Permissões:
roles/cloudbuild.builds.viewer Pode ver os recursos do Cloud Build cloudbuild.builds.get
cloudbuild.builds.list
roles/cloudbuild.builds.editor Controle total dos recursos do Cloud Build cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.builds.create
cloudbuild.builds.update

Além dos papéis predefinidos do Cloud Build acima, os papéis de visualizador, editor e proprietário primários também incluem permissões relacionadas ao Cloud Build. No entanto, recomendamos que você conceda papéis predefinidos sempre que possível para obedecer ao princípio de segurança do menor privilégio.

A tabela abaixo lista os papéis primários e os papéis do IAM do Cloud Build que eles incluem.

Role Papéis inclusos
roles/viewer roles/cloudbuild.builds.viewer
roles/editor ou roles/owner roles/cloudbuild.builds.editor

Permissões

A tabela a seguir lista as permissões que o solicitante precisa ter para chamar cada método:

Método de API Permissão necessária Título do papel
builds.create()
triggers.create()
triggers.patch()
triggers.delete()
triggers.run()
cloudbuild.builds.create Editor do Cloud Build
builds.cancel() cloudbuild.builds.update Editor do Cloud Build
builds.get()
triggers.get()
cloudbuild.builds.get Editor do Cloud Build, Leitor do Cloud Build
builds.list()
triggers.list()
cloudbuild.builds.list Editor do Cloud Build, Leitor do Cloud Build

Permissões para visualizar registros de versão

Para ver os registros de versão, você precisa de permissões adicionais, dependendo do armazenamento dos registros de versão no bucket padrão do Cloud Storage ou de um bucket do Cloud Storage especificado pelo usuário. Para mais informações sobre as permissões necessárias para ver os registros de versão, consulte Como armazenar e visualizar registros de versão.

A seguir