Halaman ini diterjemahkan oleh Cloud Translation API.

Peran dan izin IAM

Kontrol akses di Cloud Build dikontrol menggunakan Identity and Access Management (IAM). IAM memungkinkan Anda membuat dan mengelola izin untuk resource Google Cloud . Cloud Build menyediakan kumpulan peran IAM standar tertentu, dengan setiap peran berisi kumpulan izin. Anda dapat menggunakan peran ini untuk memberikan akses yang lebih terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM memungkinkan Anda menerapkan prinsip keamanan dengan hak istimewa terendah, jadi Anda hanya memberikan akses yang diperlukan ke resource Anda.

Halaman ini menjelaskan peran dan izin Cloud Build.

Peran Cloud Build yang telah ditetapkan

Dengan IAM, setiap metode API di Cloud Build API mengharuskan identitas yang membuat permintaan API memiliki izin yang sesuai untuk menggunakan resource. Izin diberikan dengan menetapkan kebijakan yang memberikan peran kepada akun utama (pengguna, grup, atau akun layanan). Anda dapat memberikan beberapa peran kepada akun utama di resource yang sama.

Tabel di bawah mencantumkan peran IAM Cloud Build dan izin yang disertakan:

Peran	Deskripsi	Izin
Nama: `roles/cloudbuild.builds.viewer` Judul: Cloud Build Viewer	Dapat melihat Cloud Build resource	`cloudbuild.builds.get` `cloudbuild.builds.list` `remotebuildexecution.blobs.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama: `roles/cloudbuild.builds.editor` Judul: Cloud Build Editor	Kontrol penuh atas Cloud Build resource	`cloudbuild.builds.create` `cloudbuild.builds.get` `cloudbuild.builds.list` `cloudbuild.builds.update` `remotebuildexecution.blobs.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama: `roles/cloudbuild.builds.approver` Judul: Cloud Build Approver	Memberikan akses untuk menyetujui atau menolak build yang tertunda	`cloudbuild.builds.approve` `cloudbuild.builds.get` `cloudbuild.builds.list` `remotebuildexecution.blobs.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama: `roles/cloudbuild.builds.builder` Judul: Akun Layanan Lama Cloud Build	Saat Anda mengaktifkan Cloud Build API untuk project, akun layanan lama Cloud Build akan otomatis dibuat di project dan diberi peran ini untuk resource dalam project. Akun layanan lama Cloud Build hanya menggunakan peran ini karena diperlukan untuk melakukan tindakan saat menjalankan build Anda.	Untuk mengetahui daftar izin yang dimuat oleh peran ini, , lihat Akun layanan Cloud Build default.
Nama: `roles/cloudbuild.integrationsViewer` Judul: Cloud Build Integrations Viewer	Dapat melihat Cloud Build koneksi host	`cloudbuild.integrations.get` `cloudbuild.integrations.list` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama:`roles/cloudbuild.integrationsEditor` Judul: Cloud Build Integrations Editor	Mengedit kontrol Cloud Build koneksi host	`cloudbuild.integrations.get` `cloudbuild.integrations.list` `cloudbuild.integrations.update` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama:`roles/cloudbuild.integrationsOwner` Judul: Pemilik Integrasi Cloud Build	Kontrol penuh atas Cloud Build koneksi host	`cloudbuild.integrations.create` `cloudbuild.integrations.delete` `cloudbuild.integrations.get` `cloudbuild.integrations.list` `cloudbuild.integrations.update` `compute.firewalls.create` `compute.firewalls.get` `compute.firewalls.list` `compute.networks.get` `compute.networks.updatePolicy` `compute.regions.get` `compute.subnetworks.get` `compute.subnetworks.list` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama:`roles/cloudbuild.connectionViewer` Judul: Cloud Build Connection Viewer	Dapat melihat dan mencantumkan koneksi dan repositori	`resourcemanager.projects.get` `resourcemanager.projects.list` `cloudbuild.connections.get` `cloudbuild.connections.fetchLinkableRepositories` `cloudbuild.connections.list` `cloudbuild.connections.getIamPolicy` `cloudbuild.repositories.get` `cloudbuild.repositories.list`
Nama:`roles/cloudbuild.connectionAdmin` Judul: Admin Koneksi Cloud Build	Dapat mengelola koneksi dan repositori	`resourcemanager.projects.get` `resourcemanager.projects.list` `cloudbuild.connections.get` `cloudbuild.connections.fetchLinkableRepositories` `cloudbuild.connections.list` `cloudbuild.connections.create` `cloudbuild.connections.update` `cloudbuild.connections.delete` `cloudbuild.connections.getIamPolicy` `cloudbuild.connections.setIamPolicy` `cloudbuild.repositories.get` `cloudbuild.repositories.list` `cloudbuild.repositories.create` `cloudbuild.repositories.delete`
Name:`roles/cloudbuild.readTokenAccessor` Title: Cloud Build Read Only Token Accessor	Dapat melihat koneksi, repositorinya, dan mengakses token hanya baca mereka	`cloudbuild.connections.get` `cloudbuild.repositories.get` `cloudbuild.repositories.accessReadToken`
Nama:`roles/cloudbuild.tokenAccessor` Judul: Cloud Build Token Accessor	Dapat melihat koneksi, repositorinya, dan mengakses token hanya baca dan baca/tulis	`cloudbuild.connections.get` `cloudbuild.repositories.get` `cloudbuild.repositories.accessReadToken` `cloudbuild.repositories.accessReadWriteToken`
Nama: `roles/cloudbuild.workerPoolOwner` Judul: Pemilik WorkerPool Cloud Build	Kontrol penuh atas kumpulan pribadi	`cloudbuild.workerpools.create` `cloudbuild.workerpools.delete` `cloudbuild.workerpools.get` `cloudbuild.workerpools.list` `cloudbuild.workerpools.update` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama:`roles/cloudbuild.workerPoolEditor` Judul: Cloud Build WorkerPool Editor	Dapat memperbarui kumpulan pribadi	`cloudbuild.workerpools.get` `cloudbuild.workerpools.list` `cloudbuild.workerpools.update` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama: `roles/cloudbuild.workerPoolViewer` Judul: Cloud Build WorkerPool Viewer	Dapat melihat kumpulan pribadi	`cloudbuild.workerpools.get` `cloudbuild.workerpools.list` `resourcemanager.projects.get` `resourcemanager.projects.list`
Nama: `roles/cloudbuild.workerPoolUser` Judul: Pengguna WorkerPool Cloud Build	Dapat menjalankan build di kumpulan pribadi	`cloudbuild.workerpools.use`

Selain peran bawaan Cloud Build di atas, peran Viewer, Editor, dan Pemilik dasar juga mencakup izin yang terkait dengan Cloud Build. Namun, sebaiknya Anda memberikan peran bawaan jika memungkinkan untuk mematuhi prinsip keamanan hak istimewa terendah.

Tabel di bawah mencantumkan peran dasar dan peran IAM Cloud Build yang disertakan.

Peran	mencakup peran
`roles/viewer`	`roles/cloudbuild.builds.viewer`, `roles/cloudbuild.integrations.viewer`
`roles/editor`	`roles/cloudbuild.builds.editor`, `roles/cloudbuild.integrations.editor`
`roles/owner`	`roles/cloudbuild.integrations.owner`

Izin

Tabel berikut mencantumkan izin yang harus dimiliki pemanggil untuk memanggil setiap metode:

Metode API	Izin yang diperlukan	Nama Peran
`builds.create()` `triggers.create()` `triggers.patch()` `triggers.delete()` `triggers.run()`	`cloudbuild.builds.create`	Cloud Build Editor
`builds.cancel()`	`cloudbuild.builds.update`	Cloud Build Editor
`builds.get()` `triggers.get()`	`cloudbuild.builds.get`	Cloud Build Editor, Cloud Build Viewer
`builds.list()` `triggers.list()`	`cloudbuild.builds.list`	Cloud Build Editor, Cloud Build Viewer

Izin untuk melihat log build

Untuk melihat log build, Anda memerlukan izin tambahan, bergantung pada apakah Anda menyimpan log build di bucket Cloud Storage default atau di bucket Cloud Storage yang ditentukan pengguna. Untuk informasi selengkapnya tentang izin yang diperlukan untuk melihat log build, lihat Menyimpan dan melihat log build.

Langkah berikutnya

Pelajari akun layanan Cloud Build default.
Pelajari cara mengonfigurasi akses ke resource Cloud Build.
Pelajari cara mengonfigurasi akses untuk akun layanan Cloud Build.
Pelajari IAM.