アクセス制御の構成

Google Cloud Platform 内のアクセス制御は、Google Cloud Identity and Access Management(IAM)を使用して制御されます。IAM を使用すると、プロジェクト内のどのようなアクセス権限でどのリソースにアクセスできるのかを設定できます。IAM を使用すると一定のリソースについて、基本の役割または定義済みの役割の権限をユーザーに設定できます。また、カスタム役割を作成することもできます。

Cloud Build では、アクセス制御に IAM が使用されます。IAM を使用して、プロジェクトにチームメンバーを追加したり、ビルドの作成、表示、キャンセルの権限をプロジェクト メンバーに与えたりできます。ユーザーは、Cloud Build API メソッドを呼び出すために必要な Cloud IAM 権限を要求されます。

このページでは、Cloud Build メソッドの呼び出しに必要な IAM 権限と役割について説明します。また、IAM を使用してプロジェクトのチームメンバーとサービス アカウントに対して権限を構成する方法についても説明します。

権限

次の表に、各メソッドを呼び出すために呼び出し元が持っている必要のある権限のリストを示します。

API メソッド 必要な権限 役割のタイトル
builds.create()
triggers.create()
triggers.patch()
triggers.delete()
triggers.run()
cloudbuild.builds.create Cloud Build 編集者
builds.cancel() cloudbuild.builds.update Cloud Build 編集者
builds.get()
triggers.get()
cloudbuild.builds.get Cloud Build 編集者、Cloud Build 閲覧者
builds.list()
triggers.list()
cloudbuild.builds.list Cloud Build 編集者、Cloud Build 閲覧者

役割

IAM では、Cloud Build 内のすべての API メソッドについて、リソースを使用するための適切な権限が API リクエストを行うアカウントに必要です。権限は、その権限を含む役割を付与することで付与されます。オーナー、編集者、閲覧者などの基本の役割に加え、Cloud Build の役割をプロジェクトのユーザーに付与できます。

次の表に、Cloud Build IAM の役割とその権限を示します。

| 役割 | 役割のタイトル | 含まれる権限 | | -------------------------- ----- | --------------- | ------------------------------------------------------------------------------------- | | roles/cloudbuild.builds.viewer | Cloud Build 閲覧者 | cloudbuild.builds.get
cloudbuild.builds.list | | roles/cloudbuild.builds.editor | Cloud Build 編集者 | 上記すべてに加え、
cloudbuild.builds.create
cloudbuild.builds.update |

次の表に、Cloud IAM のリリース前に存在していた基本の役割と、それに含まれる Cloud Build IAM の役割を示します。

役割 役割のタイトル 含まれる役割
roles/viewer 閲覧者 roles/cloudbuild.builds.viewer
roles/editor または roles/owner 編集者またはオーナー roles/cloudbuild.builds.editor

GCP Console での IAM 役割の管理

新しいチームメンバーまたはサービス アカウントに IAM 役割を付与するには:

  1. Google Cloud Platform Console で [Identity and Access Management] ページを開きます。
  2. プロジェクトを選択し、[続行] をクリックします。
  3. [追加] をクリックします。
  4. チームメンバーまたはサービス アカウントのメールアドレスを入力します。
  5. プルダウン メニューから目的の役割のタイトルを選択します。Cloud Build の役割は [Cloud Build] に表示されます。
  6. [追加] をクリックします。

IAM カスタム役割の作成

Cloud Build 権限を持つ Cloud IAM カスタム役割を作成するには:

  1. GCP Console の [役割] ページに移動します。

    [役割] ページを開く

  2. プロジェクトと組織を選択します。
  3. [役割の作成] をクリックします。
  4. 役割の名前説明を入力します。
  5. [権限を追加] をクリックします。
  6. [すべてのサービス] プルダウンで cloudbuild を選択します。
  7. 1 つ以上の権限を選択し、[権限を追加] をクリックします。
  8. [作成] をクリックします。

Cloud IAM カスタム役割の使い方については、カスタムの役割の作成と管理をご覧ください。

Cloud Build サービス アカウント

Cloud Build は、特別なサービス アカウントを使用してユーザーの代わりにビルドを実行します。

Cloud Build API を有効にすると、サービス アカウントが自動的に作成され、プロジェクトの Cloud Build の役割が付与されます。この役割で十分なタスクもありますが、アカウントに手動で追加の IAM 役割を付与しなければ実行できないアクションもあります。適切な役割をサービス アカウントに追加するには、GCP Console の [IAM と管理] セクションをご覧ください。

Cloud Build サービス アカウントへのアクセス権を付与する手順については、追加アクセス権を付与するをご覧ください。

次のステップ

フィードバックを送信...