Configura el control de acceso

El control de acceso en Google Cloud Platform se controla mediante Google Cloud Identity and Access Management (IAM). IAM te permite establecer permisos y especificar quién tiene qué tipo de acceso a qué recursos de tu proyecto. IAM proporciona funciones básicas y predefinidas que puede otorgar a los usuarios en ciertos recursos. También te permite crear funciones personalizadas.

Cloud Build usa IAM para control de acceso. Puedes usar IAM para agregar miembros del equipo a tu proyecto y otorgarles permisos a fin de que puedan crear, ver y cancelar compilaciones. Los usuarios requieren los permisos necesarios de Cloud IAM para llamar a los métodos de la API de Cloud Build.

En esta página, se explican los permisos y funciones de IAM necesarios para llamar al método de Cloud Build y se explica cómo usar IAM con la finalidad de configurar permisos de los miembros del equipo de tu proyecto y las cuentas de servicio.

Permisos

En la tabla siguiente, se enumeran los permisos que deben tener el emisor para llamar a cada método:

Método de API Permiso necesario Título de la función
builds.create()
triggers.create()
triggers.patch()
triggers.delete()
triggers.run()
cloudbuild.builds.create Editor de Cloud Build
builds.cancel() cloudbuild.builds.update Editor de Cloud Build
builds.get()
triggers.get()
cloudbuild.builds.get Editor de Cloud Build, Lector de Cloud Build
builds.list()
triggers.list()
cloudbuild.builds.list Editor de Cloud Build, Lector de Cloud Build

Funciones

Con IAM, cada método de API en Cloud Build requiere que la cuenta que envía la solicitud a la API tenga los permisos apropiados para usar el recurso. Los permisos se otorgan mediante el otorgamiento de funciones que incluyen ese permiso. Además de las funciones básicas de propietario, editor y lector, puedes otorgar funciones de Cloud Build a los usuarios de tu proyecto.

En la tabla debajo, se enumeran las funciones y los permisos de IAM de Cloud Build que cuentan con estas características:

Función Título de la función incluye permisos:
role/cloudbuild.builds.viewer Lector de Cloud Build cloudbuild.builds.get
cloudbuild.builds.list
role/cloudbuild.builds.editor Editor de Cloud Build Todo lo anterior y:
cloudbuild.builds.create
cloudbuild.builds.update

En la tabla a continuación, se enumeran las funciones básicas que existían antes de Cloud IAM y las funciones de IAM de Cloud Build que incluyen cuentan con estas características:

Función Título de la función incluye función:
role/viewer Lector role/cloudbuild.builds.viewer
role/editor o role/owner Editor o Propietario role/cloudbuild.builds.editor

Administra funciones de IAM a través de GCP Console

A fin de otorgar funciones de IAM a un miembro del equipo o cuenta de servicio nuevos:

  1. Abre la página de administración de identidades y accesos en Google Cloud Platform Console.
  2. Selecciona tu proyecto y haz clic en Continuar.
  3. Haz clic en Agregar.
  4. Ingresa la dirección de correo electrónico del miembro del equipo o de la cuenta de servicio.
  5. Selecciona el título de función deseada en el menú desplegable. Las funciones de Cloud Build se encuentran en Cloud Build.
  6. Haz clic en Agregar.

Crea funciones de IAM personalizadas

Para crear una función personalizada de Cloud IAM con permisos de Cloud Build, sigue estos pasos:

  1. Dirígete a la página Funciones de GCP Console.

    Abrir la página Funciones

  2. Selecciona tu proyecto y organización.
  3. Haz clic en Crear función.
  4. Ingresa un Nombre y una Descripción para la función.
  5. Haz clic en Agregar permisos.
  6. En el menú desplegable Todos los servicios, selecciona cloudbuild.
  7. Selecciona uno o más permisos y haz clic en Agregar permisos.
  8. Haz clic en Crear.

Para obtener más instrucciones sobre cómo usar las funciones personalizadas de Cloud IAM, consulta Crea y administra funciones personalizadas.

Cuenta de servicio de Cloud Build

Cloud Build usa una cuenta de servicio especial para ejecutar compilaciones a tu nombre.

Cuando habilitas la API de Cloud Build, la cuenta de servicio se crea de forma automática y se le otorga la función de Cloud Build para tu proyecto. Esta función sirve para varias tareas; sin embargo, no permite que la cuenta realice ciertas acciones, como la implementación en App Engine o Cloud Functions, la administración de recursos de Compute Engine o Kubernetes Engine, o el acceso a un depósito de Cloud Storage. Si quieres habilitar tu cuenta de servicio para que realice estas acciones, otorga funciones de IAM adicionales a la cuenta. Usa la sección de IAM y administrador en GCP Console y agrega las funciones adecuadas a la lista de funciones de la cuenta de servicio.

Para obtener instrucciones sobre cómo otorgar acceso a las cuentas de servicio de Cloud Build, consulta Otorga acceso adicional.

Pasos siguientes

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...