De forma predeterminada, solo el creador de un proyecto de Google Cloud tiene acceso al proyecto y a sus recursos. Para otorgar acceso a otros usuarios, puedes otorgar funciones de administración de identidades y accesos (IAM) en el proyecto o en un recurso específico de Cloud Build.
En esta página, se describen las formas en que puedes configurar el control de acceso para tus recursos de Cloud Build.
Antes de comenzar
- Comprende los conceptos básicos de IAM.
- Obtén información sobre las funciones y permisos de Cloud Build.
Otorga funciones en el proyecto
Consola
Abre la página IAM en la consola de Google Cloud:
Selecciona tu proyecto y haz clic en Continuar.
Haz clic en Grant access.
Ingresa la dirección de correo electrónico del usuario o de la cuenta de servicio.
Selecciona la función deseada en el menú desplegable. Las funciones de Cloud Build se encuentran en Cloud Build.
Haz clic en Guardar.
gcloud
Para otorgarle una función a un miembro, ejecuta el comando add-iam-policy-binding:
gcloud group add-iam-policy-binding resource \
--member=principal --role=role-id
Donde:
group: Es el grupo de gcloud CLI del recurso que deseas actualizar. Por ejemplo, puedes usar proyectos u organizaciones.
resource: el nombre del recurso.
principal: un identificador para el principal, que suele tener el siguiente formato: principal-tipo:id. Por ejemplo, user:my-user@example.com. Para ver una lista completa de los tipos de principal o miembro, consulta la referencia de vinculación de políticas.
role-id: El nombre de la función
Por ejemplo, para otorgarle la función de visualizador de Cloud Build al usuario my-user@example.com en el proyecto my-project, ejecuta este comando:
gcloud projects add-iam-policy-binding my-project \
--member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer
Otorga permisos para ejecutar comandos de gcloud
Para ejecutar los comandos gcloud builds, los usuarios que solo tengan funciones de cloudbuild.builds.viewer o cloudbuild.builds.editor también requieren el permiso serviceusage.services.use. Para otorgarle este permiso al usuario, otórgale la función serviceusage.serviceUsageConsumer.
El usuario con funciones de editor de propietario puede ejecutar comandos gcloud builds sin el permiso serviceusage.services.use adicional.
Permisos para ver los registros de compilación
Para ver los registros de compilación, necesitas permisos adicionales según si almacenas tus registros de compilación en el bucket predeterminado de Cloud Storage o en un bucket de Cloud Storage especificado por el usuario. Si quieres obtener más información sobre los permisos necesarios para ver los registros de compilación, consulta Cómo ver los registros de compilación.
Revoca funciones en el proyecto
Consola
Abre la página IAM en la consola de Google Cloud:
Selecciona tu proyecto y haz clic en Continuar.
En la tabla de permisos, busca el ID del correo electrónico del principal y haz clic en el ícono de lápiz.
Borra la función que deseas revocar.
Haz clic en Guardar.
gcloud
Para revocar una función de un usuario, ejecuta el comando remove-iam-policy-binding:
gcloud group remove-iam-policy-binding resource \
--member=principal --role=role-id
Donde:
group: Es el grupo de gcloud CLI del recurso que deseas actualizar. Por ejemplo, puedes usar proyectos u organizaciones.
resource: el nombre del recurso.
principal: un identificador para el principal, que suele tener el siguiente formato: principal-tipo:id. Por ejemplo, user:my-user@example.com. Para ver una lista completa de los tipos de principal o miembro, consulta la referencia de vinculación de políticas.
role-id: El nombre de la función
Por ejemplo, para revocar la función de visualizador de Cloud Build desde el usuario my-user@example.com en el proyecto my-project, ejecuta este comando:
gcloud projects remove-iam-policy-binding my-project \
--member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer
Visualiza funciones en el proyecto
Consola
Abre la página IAM en la consola de Google Cloud:
Selecciona tu proyecto y haz clic en Continuar.
En Ver por, haz clic en Funciones.
Para ver los principales con una función específica, expande el nombre de la función.
gcloud
Para ver todos los usuarios a los que se les otorgó un rol particular en un proyecto de Google Cloud, ejecuta el siguiente comando:
gcloud projects get-iam-policy project-id \
--flatten="bindings[].members" \
--format="table(bindings.members)" \
--filter="bindings.role:role-id"
Donde:
project-id es el ID del proyecto.
role-id es el nombre de la función de la que deseas ver las principales.
Por ejemplo, para ver todas las principales de un proyecto que tienen el rol de Visualizador del proyecto de Google Cloud, ejecuta el siguiente comando:
gcloud projects get-iam-policy my-project \
--flatten="bindings[].members" \
--format="table(bindings.members)" \
--filter="bindings.role:roles/cloudbuild.builds.viewer"
Crea funciones de IAM personalizadas
Para los usuarios que desean definir sus propias funciones que contienen paquetes de permisos que especifican, IAM ofrece funciones personalizadas. Si deseas obtener instrucciones para crear y usar funciones personalizadas de IAM, consulta Crea y administra funciones personalizadas.
¿Qué sigue?
- Obtén información sobre la cuenta de servicio de Cloud Build.
- Obtén más información para configurar el acceso a la cuenta de servicio de Cloud Build.
- Obtén más información sobre los permisos necesarios para ver los registros de compilación.