本頁面說明如何使用組織政策服務自訂限制,限制對下列 Google Cloud 資源執行的特定作業:
cloudbuild.googleapis.com/BitbucketServerConfigcloudbuild.googleapis.com/BuildTriggercloudbuild.googleapis.com/Connectioncloudbuild.googleapis.com/GithubEnterpriseConfigcloudbuild.googleapis.com/Repositorycloudbuild.googleapis.com/WorkerPool
如要進一步瞭解組織政策,請參閱「自訂組織政策」。
關於組織政策和限制
Google Cloud 組織政策服務可讓您透過程式輔助,集中控管組織的資源。組織政策管理員可以定義組織政策,也就是一組稱為「限制」的限制,適用於Google Cloud 資源和這些資源在Google Cloud 資源階層中的子系。您可以在組織、資料夾或專案層級強制執行組織政策。
組織政策提供各種 Google Cloud 服務的內建代管限制。不過,如要更精細地自訂組織政策中受限的特定欄位,您也可以建立「自訂限制」,並用於組織政策。
政策繼承
根據預設,您強制執行政策的資源子系會繼承組織政策。例如,如果您對資料夾強制執行政策, Google Cloud 會對該資料夾中的所有專案強制執行政策。如要進一步瞭解這項行為及如何變更,請參閱「階層評估規則」。
事前準備
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
若您採用的是外部識別資訊提供者 (IdP),請先使用聯合身分登入 gcloud CLI。
-
執行下列指令,初始化 gcloud CLI:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
若您採用的是外部識別資訊提供者 (IdP),請先使用聯合身分登入 gcloud CLI。
-
執行下列指令,初始化 gcloud CLI:
gcloud init - 請確認您知道組織 ID。
- 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。
- 在專案選擇工具中,選取要設定組織政策的專案。
- 按一下「自訂限制」。
- 在「顯示名稱」方塊中,輸入容易理解的限制名稱。這個名稱會顯示在錯誤訊息中,可用於識別和偵錯。請勿在顯示名稱中使用 PII 或機密資料,因為錯誤訊息可能會顯示這類名稱。這個欄位最多可包含 200 個半形字元。
-
在「Constraint ID」(限制 ID) 方塊中,輸入新自訂限制的名稱。自訂限制只能包含字母 (包括大寫和小寫) 或數字,例如
custom.disableGkeAutoUpgrade。這個欄位最多可包含 70 個字元,前置字元 (custom.) 不計入,例如organizations/123456789/customConstraints/custom。請勿在限制 ID 中輸入 PII 或機密資料,因為錯誤訊息可能會顯示上述資訊。 - 在「說明」方塊中,輸入使用者可理解的限制說明。違反政策時,系統會顯示這項說明做為錯誤訊息。請提供違反政策的詳細原因,以及如何解決問題。請勿在說明中輸入 PII 或機密資料,因為錯誤訊息可能會顯示上述資訊。這個欄位最多可輸入 2000 個字元。
-
在「Resource type」方塊中,選取包含要限制物件和欄位的 Google Cloud REST 資源名稱,例如
container.googleapis.com/NodePool。大多數資源類型最多支援 20 個自訂限制。如果嘗試建立更多自訂限制,作業會失敗。 - 在「強制執行方法」下方,選取要對 REST 「CREATE」方法強制執行限制,還是對「CREATE」和「UPDATE」方法都強制執行限制。如果您對違反限制的資源使用 UPDATE 方法強制執行限制,除非變更可解決違規問題,否則機構政策會封鎖對該資源的變更。
- 如要定義條件,請按一下「編輯條件」。
-
在「新增條件」面板中,建立參照支援服務資源的 CEL 條件,例如
resource.management.autoUpgrade == false。這個欄位最多可輸入 1,000 個半形字元。如要瞭解如何使用 CEL,請參閱「 一般運算語言」。如要進一步瞭解可在自訂限制中使用的服務資源,請參閱「 自訂限制支援的服務」。 - 按一下 [儲存]。
- 在「動作」下方,選取符合條件時要允許或拒絕評估方法。
- 按一下「建立限制」。
- 如要建立自訂限制,請使用下列格式建立 YAML 檔案:
-
ORGANIZATION_ID:您的機構 ID,例如123456789。 -
CONSTRAINT_NAME:新自訂限制的名稱。自訂限制只能包含字母 (包括大寫和小寫) 或數字,例如custom.enableCloudBuildPubsubTrigger。這個欄位最多可包含 70 個字元。 -
RESOURCE_NAME:內含您要限制的物件或欄位的 Google Cloud資源完整名稱,例如:cloudbuild.googleapis.com/BuildTrigger。 -
CONDITION:針對支援服務資源表示法所撰寫的 CEL 條件。這個欄位最多可輸入 1,000 個半形字元。例如:resource.pubsubConfig != null && resource.pubsubConfig.topic.contains('cloud-build')。 -
ACTION:符合condition時採取的動作。 可能的值為ALLOW和DENY。 -
DISPLAY_NAME:限制的易記名稱。這個欄位最多可包含 200 個半形字元。 -
DESCRIPTION:違反政策時,要以錯誤訊息形式顯示的限制說明。這個欄位最多可輸入 2000 個字元。 -
為新的自訂限制建立 YAML 檔案後,您必須加以設定,才能用於貴機構的組織政策。如要設定自訂限制,請使用
gcloud org-policies set-custom-constraint指令: -
如要確認是否存在自訂限制,請使用
gcloud org-policies list-custom-constraints指令: - 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。
- 在專案選擇工具中,選取要設定組織政策的專案。
- 在「Organization policies」(組織政策) 頁面上的清單中選取限制,即可查看該限制的「Policy details」(政策詳細資料) 頁面。
- 如要為這項資源設定組織政策,請按一下「Manage policy」(管理政策)。
- 在「Edit policy」(編輯政策) 頁面中,選取「Override parent's policy」(覆寫上層政策)。
- 按一下「Add a rule」(新增規則)。
- 在「強制執行」部分中,選取是否要強制執行這項機構政策。
- 選用:如要根據標記設定組織政策條件,請按一下「Add condition」(新增條件)。請注意,如果為組織政策新增條件式規則,您必須至少新增一項無條件規則,否則無法儲存政策。詳情請參閱「 使用標記設定組織政策」一文。
- 按一下「Test changes」(測試變更),模擬組織政策的影響。詳情請參閱「 使用 Policy Simulator 測試組織政策變更」一文。
- 如要在模擬測試模式下強制執行組織政策,請按一下「設定模擬測試政策」。詳情請參閱「 以模擬測試模式建立組織政策」。
- 確認機構政策在模擬執行模式下運作正常後,請按一下「設定政策」,設定正式政策。
- 如要建立含有布林值規則的組織政策,請建立參照限制的政策 YAML 檔案:
-
PROJECT_ID:您要強制執行限制的專案。 -
CONSTRAINT_NAME:您為自訂限制定義的名稱,例如custom.enableCloudBuildPubsubTrigger。 -
如要以模擬測試模式強制執行組織政策,請執行下列指令並加上
dryRunSpec旗標: -
確認模擬測試模式中的機構政策運作正常後,請使用
org-policies set-policy指令和spec旗標設定正式政策: - 組織 ID
- 專案 ID
建立下列 YAML 檔案,並儲存為
constraint-enforce-vulnerabilityAssessmentTitle.yaml:name: organizations/ORGANIZATION_ID/customConstraints/custom.enableCloudBuildPubsubTrigger resourceTypes: - cloudbuild.googleapis.com/BuildTrigger methodTypes: - CREATE condition: "resource.pubsubConfig != null && resource.pubsubConfig.topic.contains('cloud-build')" actionType: ALLOW displayName: Requires Pub/Sub triggers to contain "cloud-build" in the topic name. description: Pub/Sub triggers must contain "cloud-build" in the topic name.請將
ORGANIZATION_ID替換成組織 ID。套用限制:
gcloud org-policies set-custom-constraint ~/constraint-enforce-vulnerabilityAssessmentTitle確認限制是否存在:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID輸出結果會與下列內容相似:
CUSTOM_CONSTRAINT ACTION_TYPE METHOD_TYPES RESOURCE_TYPES DISPLAY_NAME custom.enableCloudBuildPubsubTrigger DENY CREATE cloudbuild.googleapis.com/BuildTrigger Enable creating Pub/Sub trigger that listens on topics that contain "cloud-build". ...將下列檔案儲存為
policy-enforce-enableCloudBuildPubsubTrigger.yaml:name: projects/PROJECT_ID/policies/custom.enforceEnableCloudBuildPubsubTrigger spec: rules: - enforce: true將
PROJECT_ID替換為專案 ID。套用政策:
gcloud org-policies set-policy ~/policy-enforce-enableCloudBuildPubsubTrigger.yaml確認政策是否存在:
gcloud org-policies list --project=PROJECT_ID輸出結果會與下列內容相似:
CONSTRAINT LIST_POLICY BOOLEAN_POLICY ETAG custom.enforceEnableCloudBuildPubsubTrigger - SET COCsm5QGENiXi2E=建立 Pub/Sub 主題,主題 ID 不含
cloud-build。為該主題建立 Pub/Sub 觸發程序。
輸出內容如下:
Operation denied by custom org policies: ["customConstraints/custom.enableCloudBuildPubsubTrigger": "Pub/Sub triggers must contain "cloud-build" in the topic name."]
必要的角色
如要取得管理自訂組織政策所需的權限,請要求管理員授予組織資源的組織政策管理員 (roles/orgpolicy.policyAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
設定自訂限制
自訂限制是在 YAML 檔案中定義,其中包含您要強制執行組織政策的服務所支援的資源、方法、條件和動作。自訂限制的條件是使用一般運算語言 (CEL) 所定義。如要進一步瞭解如何使用 CEL 在自訂限制中建構條件,請參閱「建立及管理自訂限制」的 CEL 一節。
控制台
如要建立自訂限制,請按照下列步驟操作:
並非所有 Google Cloud 服務都支援這兩種方法。如要查看各項服務支援的方法,請在「 支援的服務」中找出該服務。
如果條件評估結果為 true,系統就會拒絕動作,也就是禁止建立或更新資源。
允許動作表示只有在條件評估為 true 時,才能建立或更新資源。除了條件中明確列出的情況外,所有其他情況都會遭到封鎖。
在每個欄位中輸入值後,右側會顯示這個自訂限制的對等 YAML 設定。
gcloud
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME resourceTypes: - RESOURCE_NAME methodTypes: - CREATE
- UPDATE condition: "CONDITION" actionType: ACTION displayName: DISPLAY_NAME description: DESCRIPTION
取代下列項目:
如要進一步瞭解可編寫條件的資源,請參閱「支援的資源」。
如果條件評估結果為 true,表示允許執行建立或更新資源的作業。這也表示系統會封鎖條件中明確列出的情況以外的所有其他情況。
如果條件評估結果為 true,系統會封鎖建立或更新資源的作業。
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
將 CONSTRAINT_PATH 替換成自訂限制檔案的完整路徑,例如:/home/user/customconstraint.yaml。
完成後,自訂限制就會顯示在 Google Cloud 組織政策清單中,供組織政策使用。
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
請將 ORGANIZATION_ID 替換成組織資源的 ID。
詳情請參閱「 查看組織政策」。
強制執行自訂組織政策
如要強制執行限制,請建立參照該限制的組織政策,然後將組織政策套用至 Google Cloud 資源。控制台
gcloud
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true dryRunSpec: rules: - enforce: true
取代下列項目:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
將 POLICY_PATH 替換成組織政策 YAML 檔案的完整路徑。政策最多需要 15 分鐘才會生效。
gcloud org-policies set-policy POLICY_PATH \ --update-mask=spec
將 POLICY_PATH 替換成組織政策 YAML 檔案的完整路徑。政策最多需要 15 分鐘才會生效。
測試自訂組織政策
下列範例會建立自訂限制和政策,只有在觸發條件屬於 Pub/Sub 類型,且監聽含有「cloud-build」的主題時,才允許建立建構觸發條件。
開始之前,請務必備妥以下項目:
建立限制
如要建立自訂限制,請按照下列步驟操作:
建立政策
建立政策並套用至您建立的自訂限制:
套用政策後,請等待約兩分鐘, Google Cloud 就會開始強制執行政策。
測試政策
如要測試政策,請按照下列步驟操作:
常見用途的自訂組織政策範例
下表提供一些常見自訂限制的語法範例。
| 說明 | 限制語法 |
|---|---|
建構作業必須使用 cloudbuild.yaml 做為建構設定檔。 |
actionType: ALLOW
condition: "resource.source.storageSource.object.endsWith('cloudbuild.yaml')"
description: All builds must use |
| 建構觸發條件必須使用核准的存放區 |
actionType: ALLOW
condition: "resource.repoSource.repoName == 'projects/PROJECT_ID/repos/approved-app-repo'"
description: All Cloud Build Triggers must use the |
Cloud Build 支援的資源
下表列出可在自訂限制中參照的 Cloud Build 資源。| 資源 | 欄位 |
|---|---|
| cloudbuild.googleapis.com/BitbucketServerConfig |
resource.apiKey
|
resource.hostUri
| |
resource.name
| |
resource.peeredNetwork
| |
resource.peeredNetworkIpRange
| |
resource.secrets.adminAccessTokenVersionName
| |
resource.secrets.readAccessTokenVersionName
| |
resource.secrets.webhookSecretVersionName
| |
resource.sslCa
| |
resource.username
| |
| cloudbuild.googleapis.com/BuildTrigger |
resource.approvalConfig.approvalRequired
|
resource.autodetect
| |
resource.bitbucketServerTriggerConfig.bitbucketServerConfigResource
| |
resource.bitbucketServerTriggerConfig.projectKey
| |
resource.bitbucketServerTriggerConfig.pullRequest.branch
| |
resource.bitbucketServerTriggerConfig.pullRequest.commentControl
| |
resource.bitbucketServerTriggerConfig.pullRequest.invertRegex
| |
resource.bitbucketServerTriggerConfig.push.branch
| |
resource.bitbucketServerTriggerConfig.push.invertRegex
| |
resource.bitbucketServerTriggerConfig.push.tag
| |
resource.bitbucketServerTriggerConfig.repoSlug
| |
resource.build.artifacts.images
| |
resource.build.artifacts.mavenArtifacts.artifactId
| |
resource.build.artifacts.mavenArtifacts.groupId
| |
resource.build.artifacts.mavenArtifacts.path
| |
resource.build.artifacts.mavenArtifacts.repository
| |
resource.build.artifacts.mavenArtifacts.version
| |
resource.build.artifacts.npmPackages.packagePath
| |
resource.build.artifacts.npmPackages.repository
| |
resource.build.artifacts.objects.location
| |
resource.build.artifacts.objects.paths
| |
resource.build.artifacts.pythonPackages.paths
| |
resource.build.artifacts.pythonPackages.repository
| |
resource.build.availableSecrets.inline.envMap
| |
resource.build.availableSecrets.inline.kmsKeyName
| |
resource.build.availableSecrets.secretManager.env
| |
resource.build.availableSecrets.secretManager.versionName
| |
resource.build.gitConfig.http.proxySecretVersionName
| |
resource.build.images
| |
resource.build.logsBucket
| |
resource.build.options.automapSubstitutions
| |
resource.build.options.defaultLogsBucketBehavior
| |
resource.build.options.diskSizeGb
| |
resource.build.options.dynamicSubstitutions
| |
resource.build.options.env
| |
resource.build.options.logging
| |
resource.build.options.logStreamingOption
| |
resource.build.options.machineType
| |
resource.build.options.pool.name
| |
resource.build.options.requestedVerifyOption
| |
resource.build.options.secretEnv
| |
resource.build.options.sourceProvenanceHash
| |
resource.build.options.substitutionOption
| |
resource.build.options.volumes.name
| |
resource.build.options.volumes.path
| |
resource.build.queueTtl
| |
resource.build.secrets.kmsKeyName
| |
resource.build.secrets.secretEnv
| |
resource.build.serviceAccount
| |
resource.build.source.connectedRepository.dir
| |
resource.build.source.connectedRepository.repository
| |
resource.build.source.connectedRepository.revision
| |
resource.build.source.developerConnectConfig.dir
| |
resource.build.source.developerConnectConfig.gitRepositoryLink
| |
resource.build.source.developerConnectConfig.revision
| |
resource.build.source.gitSource.dir
| |
resource.build.source.gitSource.revision
| |
resource.build.source.gitSource.url
| |
resource.build.source.repoSource.branchName
| |
resource.build.source.repoSource.commitSha
| |
resource.build.source.repoSource.dir
| |
resource.build.source.repoSource.invertRegex
| |
resource.build.source.repoSource.projectId
| |
resource.build.source.repoSource.repoName
| |
resource.build.source.repoSource.substitutions
| |
resource.build.source.repoSource.tagName
| |
resource.build.source.storageSource.bucket
| |
resource.build.source.storageSource.generation
| |
resource.build.source.storageSource.object
| |
resource.build.source.storageSource.sourceFetcher
| |
resource.build.source.storageSourceManifest.bucket
| |
resource.build.source.storageSourceManifest.generation
| |
resource.build.source.storageSourceManifest.object
| |
resource.build.steps.allowExitCodes
| |
resource.build.steps.allowFailure
| |
resource.build.steps.args
| |
resource.build.steps.automapSubstitutions
| |
resource.build.steps.dir
| |
resource.build.steps.entrypoint
| |
resource.build.steps.env
| |
resource.build.steps.id
| |
resource.build.steps.name
| |
resource.build.steps.script
| |
resource.build.steps.secretEnv
| |
resource.build.steps.timeout
| |
resource.build.steps.volumes.name
| |
resource.build.steps.volumes.path
| |
resource.build.steps.waitFor
| |
resource.build.substitutions
| |
resource.build.tags
| |
resource.build.timeout
| |
resource.description
| |
resource.disabled
| |
resource.eventType
| |
resource.filename
| |
resource.filter
| |
resource.gitFileSource.bitbucketServerConfig
| |
resource.gitFileSource.githubEnterpriseConfig
| |
resource.gitFileSource.path
| |
resource.gitFileSource.repository
| |
resource.gitFileSource.repoType
| |
resource.gitFileSource.revision
| |
resource.gitFileSource.uri
| |
resource.github.enterpriseConfigResourceName
| |
resource.github.name
| |
resource.github.owner
| |
resource.github.pullRequest.branch
| |
resource.github.pullRequest.commentControl
| |
resource.github.pullRequest.invertRegex
| |
resource.github.push.branch
| |
resource.github.push.invertRegex
| |
resource.github.push.tag
| |
resource.gitlabEnterpriseEventsConfig.gitlabConfigResource
| |
resource.gitlabEnterpriseEventsConfig.projectNamespace
| |
resource.gitlabEnterpriseEventsConfig.pullRequest.branch
| |
resource.gitlabEnterpriseEventsConfig.pullRequest.commentControl
| |
resource.gitlabEnterpriseEventsConfig.pullRequest.invertRegex
| |
resource.gitlabEnterpriseEventsConfig.push.branch
| |
resource.gitlabEnterpriseEventsConfig.push.invertRegex
| |
resource.gitlabEnterpriseEventsConfig.push.tag
| |
resource.ignoredFiles
| |
resource.includeBuildLogs
| |
resource.includedFiles
| |
resource.name
| |
resource.pubsubConfig.serviceAccountEmail
| |
resource.pubsubConfig.topic
| |
resource.repositoryEventConfig.pullRequest.branch
| |
resource.repositoryEventConfig.pullRequest.commentControl
| |
resource.repositoryEventConfig.pullRequest.invertRegex
| |
resource.repositoryEventConfig.push.branch
| |
resource.repositoryEventConfig.push.invertRegex
| |
resource.repositoryEventConfig.push.tag
| |
resource.repositoryEventConfig.repository
| |
resource.resourceName
| |
resource.serviceAccount
| |
resource.sourceToBuild.bitbucketServerConfig
| |
resource.sourceToBuild.githubEnterpriseConfig
| |
resource.sourceToBuild.ref
| |
resource.sourceToBuild.repository
| |
resource.sourceToBuild.repoType
| |
resource.sourceToBuild.uri
| |
resource.substitutions
| |
resource.tags
| |
resource.triggerTemplate.branchName
| |
resource.triggerTemplate.commitSha
| |
resource.triggerTemplate.dir
| |
resource.triggerTemplate.invertRegex
| |
resource.triggerTemplate.projectId
| |
resource.triggerTemplate.repoName
| |
resource.triggerTemplate.substitutions
| |
resource.triggerTemplate.tagName
| |
resource.webhookConfig.secret
| |
| cloudbuild.googleapis.com/Connection |
resource.annotations
|
resource.bitbucketCloudConfig.authorizerCredential.userTokenSecretVersion
| |
resource.bitbucketCloudConfig.readAuthorizerCredential.userTokenSecretVersion
| |
resource.bitbucketCloudConfig.webhookSecretSecretVersion
| |
resource.bitbucketCloudConfig.workspace
| |
resource.bitbucketDataCenterConfig.authorizerCredential.userTokenSecretVersion
| |
resource.bitbucketDataCenterConfig.hostUri
| |
resource.bitbucketDataCenterConfig.readAuthorizerCredential.userTokenSecretVersion
| |
resource.bitbucketDataCenterConfig.serviceDirectoryConfig.service
| |
resource.bitbucketDataCenterConfig.sslCa
| |
resource.bitbucketDataCenterConfig.webhookSecretSecretVersion
| |
resource.disabled
| |
resource.githubConfig.appInstallationId
| |
resource.githubConfig.authorizerCredential.oauthTokenSecretVersion
| |
resource.githubEnterpriseConfig.apiKey
| |
resource.githubEnterpriseConfig.appId
| |
resource.githubEnterpriseConfig.appInstallationId
| |
resource.githubEnterpriseConfig.appSlug
| |
resource.githubEnterpriseConfig.authorizerCredential.oauthTokenSecretVersion
| |
resource.githubEnterpriseConfig.hostUri
| |
resource.githubEnterpriseConfig.oauthClientIdSecretVersion
| |
resource.githubEnterpriseConfig.oauthSecretSecretVersion
| |
resource.githubEnterpriseConfig.privateKeySecretVersion
| |
resource.githubEnterpriseConfig.serviceDirectoryConfig.service
| |
resource.githubEnterpriseConfig.sslCa
| |
resource.githubEnterpriseConfig.webhookSecretSecretVersion
| |
resource.gitlabConfig.authorizerCredential.userTokenSecretVersion
| |
resource.gitlabConfig.hostUri
| |
resource.gitlabConfig.readAuthorizerCredential.userTokenSecretVersion
| |
resource.gitlabConfig.serviceDirectoryConfig.service
| |
resource.gitlabConfig.sslCa
| |
resource.gitlabConfig.webhookSecretSecretVersion
| |
resource.name
| |
| cloudbuild.googleapis.com/GithubEnterpriseConfig |
resource.appId
|
resource.displayName
| |
resource.hostUrl
| |
resource.name
| |
resource.peeredNetwork
| |
resource.secrets.oauthClientIdVersionName
| |
resource.secrets.oauthSecretVersionName
| |
resource.secrets.privateKeyVersionName
| |
resource.secrets.webhookSecretVersionName
| |
resource.sslCa
| |
resource.webhookKey
| |
| cloudbuild.googleapis.com/Repository |
resource.annotations
|
resource.name
| |
resource.remoteUri
| |
| cloudbuild.googleapis.com/WorkerPool |
resource.annotations
|
resource.displayName
| |
resource.privatePoolV1Config.networkConfig.egressOption
| |
resource.privatePoolV1Config.networkConfig.peeredNetwork
| |
resource.privatePoolV1Config.networkConfig.peeredNetworkIpRange
| |
resource.privatePoolV1Config.privateServiceConnect.networkAttachment
| |
resource.privatePoolV1Config.privateServiceConnect.publicIpAddressDisabled
| |
resource.privatePoolV1Config.privateServiceConnect.routeAllTraffic
| |
resource.privatePoolV1Config.workerConfig.diskSizeGb
| |
resource.privatePoolV1Config.workerConfig.machineType
|