Configura el control de acceso

Container Analysis utiliza la administración de identidades y accesos (IAM) para otorgar acceso detallado a recursos específicos en función de la tarea que realizas.

En esta página, se describen los permisos para controlar el acceso a Container Analysis.

La administración de metadatos en Container Analysis implica dos entidades que requieren un nivel de acceso diferente:

  • Un proveedor que crea metadatos almacenados en notas
  • Un cliente que identifica los casos de notas

Antes de comenzar

  1. Lee sobre los conceptos del almacenamiento de metadatos.
  2. Obtén información sobre cómo otorgar, revocar y cambiar el acceso a los recursos.

Funciones de IAM para clientes y proveedores de metadatos

Proveedores de metadatos

Un proveedor de metadatos en Container Analysis es un escritor de metadatos de recursos. Crea notas, que describen algo que puede ocurrir con un recurso.

Te recomendamos crear un proyecto de Google Cloud dedicado exclusivamente a almacenar notas. En ese proyecto, restringe el acceso a un usuario o cuenta de servicio con las siguientes funciones:

  • Editor de notas de Container Analysis: para crear notas, tus clientes pueden adjuntar casos.

  • Casos de Container Analysis para el visualizador de notas: a fin de enumerar todos los casos adjuntos a una nota.

Clientes de metadatos

Un cliente de metadatos en Container Analysis adjunta información a recursos de metadatos. Crea casos, que son instancias de notas y orientan una imagen específica dentro de un proyecto.

Como cliente, para poder adjuntar casos a las notas y enumerarlas, otorga las siguientes funciones a tu cuenta de usuario o servicio:

  • Editor de casos de Container Analysis: otorga esta función en el proyecto del cliente para crear casos.

  • Encargado de adjuntar notas de Container Analysis: otorga esta función en el proyecto del proveedor para adjuntar casos a las notas.

  • Visualizador de casos de Container Analysis: otorga esta función en el proyecto del cliente para enumerar casos dentro de ese proyecto.

Metadatos de vulnerabilidades

Una medida de seguridad adicional para los metadatos de vulnerabilidad es que Container Analysis permite a los proveedores crear y administrar casos de vulnerabilidades en nombre de muchos clientes. Los metadatos de los clientes no tienen permiso de escritura para los casos de vulnerabilidades de los proveedores de terceros en sus propios proyectos.

Esto significa, por ejemplo, que Container Analysis puede crear casos de vulnerabilidades para las imágenes de tu proyecto, pero no puedes agregar ni quitar información de vulnerabilidades que detecte Container Analysis.

Esto ayuda a aplicar políticas de seguridad evitando la manipulación de los metadatos de vulnerabilidades en el lado del cliente.

Funciones de IAM

En la siguiente tabla, se enumeran las funciones de IAM de Container Analysis y los permisos que incluyen:

Función Título Descripción Permisos Recurso más bajo
roles/containeranalysis.admin Administrador de Container Analysis El administrador tiene acceso a todos los recursos de Container Analysis.
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.create
  • containeranalysis.notes.delete
  • containeranalysis.notes.get
  • containeranalysis.notes.getIamPolicy
  • containeranalysis.notes.list
  • containeranalysis.notes.setIamPolicy
  • containeranalysis.notes.update
  • containeranalysis.occurrences.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.notes.attacher Vinculador de notas de Container Analysis El vinculador puede vincular casos de Container Analysis a las notas.
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.get
roles/containeranalysis.notes.editor Editor de notas de Container Analysis El editor puede editar las notas de Container Analysis.
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.create
  • containeranalysis.notes.delete
  • containeranalysis.notes.get
  • containeranalysis.notes.list
  • containeranalysis.notes.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.notes.occurrences.viewer Casos de Container Analysis para el visualizador de notas
  • containeranalysis.notes.get
  • containeranalysis.notes.listOccurrences
roles/containeranalysis.notes.viewer Visualizador de notas de Container Analysis El visualizador puede ver las notas de Container Analysis.
  • containeranalysis.notes.get
  • containeranalysis.notes.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.occurrences.editor Editor de casos de Container Analysis El editor puede editar los casos de Container Analysis.
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.occurrences.viewer Visualizador de casos de Container Analysis El visualizador puede ver los casos de Container Analysis.
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list