Per impostazione predefinita, solo il creatore di un Google Cloud progetto ha accesso al progetto e alle relative risorse. Per concedere l'accesso ad altri utenti, puoi concedere ruoli Identity and Access Management (IAM) sul progetto o su una risorsa Cloud Build specifica.
Questa pagina descrive i modi in cui puoi impostare controllo dell'accesso per le tue risorse Cloud Build.
Prima di iniziare
- Comprendi i concetti di base di IAM.
- Scopri di più sui ruoli e le autorizzazioni di Cloud Build.
Concessione di ruoli sul progetto
Console
Apri la pagina IAM nella console: Google Cloud
Seleziona il progetto e fai clic su Continua.
Fai clic su Concedi l'accesso.
Inserisci l'indirizzo email dell'utente o del account di servizio.
Seleziona il ruolo desiderato dal menu a discesa. I ruoli Cloud Build si trovano in Cloud Build.
Fai clic su Salva.
gcloud
Per concedere un ruolo a un'entità, esegui il comando add-iam-policy-binding:
gcloud group add-iam-policy-binding resource \
--member=principal --role=role-id
Dove:
group: il gruppo gcloud CLI per la risorsa che vuoi aggiornare. Ad esempio, puoi utilizzare progetti o organizzazioni.
resource: il nome della risorsa.
principal: un identificatore per l'entità, che in genere ha il seguente formato: principal-type:id. Ad esempio, user:my-user@example.com. Per un elenco completo dei tipi di entità o membri, consulta il riferimento per l'associazione di criteri.
role-id: il nome del ruolo.
Ad esempio, per concedere il ruolo Visualizzatore Cloud Build all'utente my-user@example.com per il progetto my-project:
gcloud projects add-iam-policy-binding my-project \
--member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer
Concessione delle autorizzazioni per eseguire i comandi gcloud
Per eseguire i comandi gcloud builds, gli utenti con i ruoli
cloudbuild.builds.viewer o cloudbuild.builds.editor richiedono anche l'autorizzazione
serviceusage.services.use. Per concedere questa autorizzazione all'utente, assegnagli il ruolo serviceusage.serviceUsageConsumer.
Gli utenti con i ruoli roles/editor e roles/owner possono eseguire
gcloud builds comandi senza l'autorizzazione aggiuntiva
serviceusage.services.use permission.
Autorizzazioni per visualizzare i log di build
Per visualizzare i log di build, sono necessarie autorizzazioni aggiuntive a seconda che tu stia archiviando i log di build nel bucket Cloud Storage predefinito o in un bucket Cloud Storage specificato dall'utente. Per saperne di più sulle autorizzazioni necessarie per visualizzare i log di build, consulta Visualizzazione dei log di build.
Revoca dei ruoli sul progetto
Console
Apri la pagina IAM nella console: Google Cloud
Seleziona il progetto e fai clic su Continua.
Nella tabella delle autorizzazioni, individua l'ID email dell'entità e fai clic sull'icona a forma di matita.
Elimina il ruolo che vuoi revocare.
Fai clic su Salva.
gcloud
Per revocare un ruolo a un utente, esegui il comando remove-iam-policy-binding:
gcloud group remove-iam-policy-binding resource \
--member=principal --role=role-id
Dove:
group: il gruppo gcloud CLI per la risorsa che vuoi aggiornare. Ad esempio, puoi utilizzare progetti o organizzazioni.
resource: il nome della risorsa.
principal: un identificatore per l'entità, che in genere ha il seguente formato: principal-type:id. Ad esempio, user:my-user@example.com. Per un elenco completo dei tipi di entità o membri, consulta il riferimento per l'associazione di criteri.
role-id: il nome del ruolo.
Ad esempio, per revocare il ruolo Visualizzatore Cloud Build all'utente my-user@example.com per il progetto my-project:
gcloud projects remove-iam-policy-binding my-project \
--member=user:my-user@example.com --role=roles/cloudbuild.builds.viewer
Visualizzazione dei ruoli sul progetto
Console
Apri la pagina IAM nella console: Google Cloud
Seleziona il progetto e fai clic su Continua.
In Visualizza per, fai clic su Ruoli.
Per visualizzare le entità con un ruolo specifico, espandi il nome del ruolo.
gcloud
Per visualizzare tutti gli utenti a cui è stato concesso un ruolo specifico in un Google Cloud progetto, esegui il seguente comando:
gcloud projects get-iam-policy project-id \
--flatten="bindings[].members" \
--format="table(bindings.members)" \
--filter="bindings.role:role-id"
Dove:
project-id è l'ID progetto.
role-id è il nome del ruolo per il quale vuoi visualizzare le entità.
Ad esempio, per visualizzare tutte le entità di un progetto a cui è stato concesso il Google Cloud ruolo Visualizzatore progetto, esegui il seguente comando:
gcloud projects get-iam-policy my-project \
--flatten="bindings[].members" \
--format="table(bindings.members)" \
--filter="bindings.role:roles/cloudbuild.builds.viewer"
Creazione di ruoli IAM personalizzati
Per gli utenti che vogliono definire i propri ruoli contenenti bundle di autorizzazioni specificate, IAM offre ruoli personalizzati. Per istruzioni sulla creazione e l'utilizzo di ruoli IAM personalizzati, consulta Creazione e gestione di ruoli personalizzati.
Passaggi successivi
- Scopri di più sul service account Cloud Build predefinito.
- Scopri come configurare l'accesso al service account Cloud Build.
- Scopri di più su le autorizzazioni necessarie per visualizzare i log di build.