Kontrol akses dengan IAM

Analisis Artefak menggunakan Identity and Access Management (IAM) untuk memberikan akses terperinci ke resource tertentu, bergantung pada tugas yang akan Anda lakukan.

Halaman ini menjelaskan izin untuk mengontrol akses ke Analisis Artefak.

Sebelum memulai

  1. Baca tentang konsep penyimpanan metadata.
  2. Baca cara memberikan, mencabut, dan mengubah akses ke resource.

Peran IAM untuk penyedia dan pelanggan metadata

Pengelolaan metadata dalam Analisis Artefak melibatkan dua entity yang memerlukan tingkat akses yang berbeda:

  • Penyedia yang membuat metadata yang disimpan dalam catatan.
  • Pelanggan yang mengidentifikasi kejadian catatan.

Penyedia metadata

Penyedia metadata di Artifact Analysis adalah penulis metadata resource. Tindakan ini akan membuat catatan, yang menjelaskan sesuatu yang dapat terjadi pada resource.

Sebaiknya Anda membuat project Google Cloud yang secara khusus ditujukan untuk menyimpan catatan. Dalam project tersebut, batasi akses ke pengguna atau akun layanan dengan peran berikut:

  • Container Analysis Notes Editor - Untuk membuat catatan yang dapat dilampirkan pelanggan ke kejadian.

  • Container Analysis Occurrences for Notes Viewer - Untuk mencantumkan semua kejadian yang dilampirkan ke catatan.

Pelanggan metadata

Pelanggan metadata dalam Analisis Artefak melampirkan informasi ke resource metadata. Fungsi ini membuat kemunculan, yang merupakan instance catatan dan menargetkan gambar tertentu dalam project.

Sebagai pelanggan, agar dapat melampirkan kemunculan ke catatan dan mencantumkannya, berikan peran berikut ke pengguna atau akun layanan Anda:

  • Container Analysis Occurrences Editor - Berikan peran ini di project customer untuk membuat kemunculan.

  • Container Analysis Notes Attacher - Berikan peran ini di project provider untuk melampirkan kemunculan ke catatan.

  • Container Analysis Occurrences Viewer - Berikan peran ini di project customer untuk mencantumkan kemunculan dalam project tersebut.

Metadata kerentanan

Langkah keamanan tambahan untuk metadata kerentanan adalah Analisis Artefak memungkinkan penyedia membuat dan mengelola kejadian kerentanan atas nama banyak pelanggan. Pelanggan metadata tidak memiliki izin tulis ke kemunculan kerentanan penyedia pihak ketiga di project mereka sendiri.

Artinya, misalnya, Artifact Analysis dapat membuat kejadian kerentanan untuk gambar dalam project Anda, tetapi Anda tidak dapat menambahkan atau menghapus informasi kerentanan apa pun yang terdeteksi oleh Artifact Analysis.

Hal ini membantu menerapkan kebijakan keamanan dengan mencegah manipulasi metadata kerentanan di sisi pelanggan.

Peran IAM

Tabel berikut mencantumkan peran IAM Analisis Artefak dan izin yang disertakan:

Role Permissions

(roles/containeranalysis.admin)

Access to all Container Analysis resources.

containeranalysis.notes.attachOccurrence

containeranalysis.notes.create

containeranalysis.notes.delete

containeranalysis.notes.get

containeranalysis.notes.getIamPolicy

containeranalysis.notes.list

containeranalysis.notes.setIamPolicy

containeranalysis.notes.update

containeranalysis.occurrences.*

  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.getIamPolicy
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.setIamPolicy
  • containeranalysis.occurrences.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/containeranalysis.notes.attacher)

Can attach Container Analysis Occurrences to Notes.

containeranalysis.notes.attachOccurrence

containeranalysis.notes.get

(roles/containeranalysis.notes.editor)

Can edit Container Analysis Notes.

containeranalysis.notes.attachOccurrence

containeranalysis.notes.create

containeranalysis.notes.delete

containeranalysis.notes.get

containeranalysis.notes.list

containeranalysis.notes.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/containeranalysis.notes.occurrences.viewer)

Can view all Container Analysis Occurrences attached to a Note.

containeranalysis.notes.get

containeranalysis.notes.listOccurrences

(roles/containeranalysis.notes.viewer)

Can view Container Analysis Notes.

containeranalysis.notes.get

containeranalysis.notes.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/containeranalysis.occurrences.editor)

Can edit Container Analysis Occurrences.

containeranalysis.occurrences.create

containeranalysis.occurrences.delete

containeranalysis.occurrences.get

containeranalysis.occurrences.list

containeranalysis.occurrences.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/containeranalysis.occurrences.viewer)

Can view Container Analysis Occurrences.

containeranalysis.occurrences.get

containeranalysis.occurrences.list

resourcemanager.projects.get

resourcemanager.projects.list