設定存取權控管

Google Cloud Platform 的存取權控管使用 Google Cloud Identity and Access Management (IAM) 控管。身分與存取權管理可以讓您設定指定對專案中的哪些資源具有什麼存取權的權限。身分與存取權管理提供原始及預先定義的角色,您可以將這些角色授予某些資源上的使用者。這樣可以讓您建立自訂角色。

Cloud Build 使用身分與存取權管理來控管存取權。您可以使用身分與存取權管理,將小組成員新增到專案,並授予小組成員建立、查看及取消建構的權限。使用者需要必要 Cloud IAM 權限才能呼叫 Cloud Build API 方法。

本頁說明呼叫 Cloud Build 方法所需的身分與存取權管理權限及角色,並說明如何使用身分與存取權管理設定專案小組成員及服務帳戶的權限。

權限

下表列出了呼叫者在呼叫每個方法時必須具備的權限:

API 方法 所需權限 角色名稱
builds.create()
triggers.create()
triggers.patch()
triggers.delete()
triggers.run()
cloudbuild.builds.create Cloud Build 編輯者
builds.cancel() cloudbuild.builds.update Cloud Build 編輯者
builds.get()
triggers.get()
cloudbuild.builds.get Cloud Build 編輯者、Cloud Build 檢視者
builds.list()
triggers.list()
cloudbuild.builds.list Cloud Build 編輯者、Cloud Build 檢視者

角色

透過身分與存取權管理,Cloud Build 中的每個 API 方法,都會要求發送 API 要求的帳戶具備使用該資源的適當權限。授予角色 (包括權限) 即可授予權限。除了原始角色擁有者、編輯者和檢視者外,您還可以將 Cloud Build 角色授予專案使用者。

下表列出 Cloud Build 身分與存取權管理角色及這些角色所具備的權限:

| 角色 | 角色名稱 | 具備的權限: | | -------------------------- ----- | --------------- | ------------------------------------------------------------------------------------- | | roles/cloudbuild.builds.viewer | Cloud Build 檢視者 | cloudbuild.builds.get
cloudbuild.builds.list | | roles/cloudbuild.builds.editor | Cloud Build 編輯者 | 上述所有權限,以及下列權限:
cloudbuild.builds.create
cloudbuild.builds.update |

下表列出在 Cloud IAM 之前存在的原始角色,以及這些角色所具備的 Cloud Build 身分與存取權管理角色。

角色 角色名稱 具備的角色
roles/viewer 檢視者 roles/cloudbuild.builds.viewer
roles/editorroles/owner 編輯者或檢視者 roles/cloudbuild.builds.editor

透過 GCP 主控台管理身分與存取權管理角色

若要為新小組成員或服務帳戶授予身分與存取權管理角色

  1. 在 Google Cloud Platform 主控台中開啟「Identity and Access Management」(身分與存取權管理) 頁面
  2. 選取您的專案並按一下 [Continue] (繼續)
  3. 按一下 [Add] (新增)
  4. 輸入小組成員或服務帳戶的電子郵件地址。
  5. 從下拉式選單中選取所需角色名稱。Cloud Build 角色可在「Cloud Build」下找到。
  6. 按一下 [Add] (新增)。

建立身分與存取權管理自訂角色

若要使用 Cloud Build 權限建立 Cloud 身分與存取權管理自訂角色

  1. 前往 GCP 主控台的「Roles」(角色) 頁面。

    開啟角色頁面

  2. 選取您的專案與機構。
  3. 按一下 [Create Role] (建立角色)
  4. 輸入角色的「Name」(名稱) 與「Description」(說明)
  5. 按一下 [Add Permissions] (新增權限)
  6. 在 [All services] (所有服務) 下拉式清單中,選取 [cloudbuild]
  7. 選取一或多個權限,然後按一下 [Add Permissions] (新增權限)
  8. 按一下 [Create] (建立)

如需使用 Cloud IAM 自訂角色的進一步操作說明,請參閱建立及管理自訂角色

Cloud Build 服務帳戶

Cloud Build 使用特殊服務帳戶來代表您執行版本。

當您啟用 Cloud Build API 時,會自動為您的專案建立服務帳戶,並授予 Cloud Build 角色。此角色足以使用於多個工作,但不允許帳戶執行某些必須手動授予其他身分與存取管理權角色的動作。請參閱 GCP 主控台中的身分與存取權管理和管理員區段,將適當的角色新增給服務帳戶。

如需將存取權授予 Cloud Build 服務帳戶的操作說明,請參閱授予其他存取權

後續步驟

傳送您對下列選項的寶貴意見...

這個網頁
Cloud Build