Configurer le contrôle des accès

Container Analysis utilise Analyser les failles en fonction de la liste d'autorisation avec Container Analysis (IAM) pour accorder un accès précis à des ressources spécifiques en fonction de la tâche que vous allez effectuer.

Cette page décrit les autorisations de contrôle d'accès à Container Analysis.

La gestion des métadonnées dans Container Analysis implique deux entités nécessitant un niveau d'accès différent :

  • Un fournisseur qui crée des métadonnées stockées dans des notes.
  • Un client qui identifie les occurrences de notes.

Avant de commencer

  1. Découvrez les concepts de stockage des métadonnées.
  2. Découvrez comment accorder, révoquer et modifier l'accès aux ressources.

Rôles IAM pour les fournisseurs et clients de métadonnées

Fournisseurs de métadonnées

Dans Container Analysis, un fournisseur de métadonnées est un rédacteur de métadonnées de ressources. Il crée des notes qui décrivent les opérations effectuées sur une ressource.

Nous vous recommandons de créer un projet Google Cloud dédié exclusivement à la stockage des notes. Dans ce projet, restreignez l'accès à un utilisateur ou un compte de service avec les rôles suivants :

  • Éditeur de notes Container Analysis : pour créer des notes auxquelles vos clients peuvent joindre des occurrences.

  • Occurrences Container Analysis pour la visionneuse de notes : permet de répertorier toutes les occurrences associées à une note.

Clients de métadonnées

Un client de métadonnées dans Container Analysis associe des informations aux ressources de métadonnées. Il crée des occurrences, qui sont des instances de notes et cible une image spécifique au sein d'un projet.

En tant que client, pour pouvoir associer des occurrences à des notes et les répertorier, attribuez les rôles suivants à votre compte utilisateur ou de service :

  • Éditeur d'occurrences Container Analysis : accordez ce rôle dans le projet customer pour créer des occurrences.

  • Agent d'association de notes Container Analysis : accordez ce rôle dans le projet provider pour associer des occurrences aux notes.

  • Lecteur d'occurrences Container Analysis : accordez ce rôle dans le projet client pour répertorier les occurrences au sein de ce projet.

Métadonnées de faille

Une mesure de sécurité supplémentaire pour les métadonnées de faille est que Container Analysis permet aux fournisseurs de créer et de gérer des occurrences de failles pour le compte de nombreux clients. Les clients de métadonnées ne disposent pas de l'autorisation en écriture sur les occurrences de failles des fournisseurs tiers dans leurs propres projets.

Cela signifie, par exemple, que Container Analysis peut créer des occurrences de failles pour les images de votre projet, mais que vous ne pouvez pas ajouter ni supprimer des informations sur les failles détectées par Container Analysis.

Cela permet d'appliquer des règles de sécurité en empêchant la manipulation des métadonnées de faille côté client.

Rôles IAM

Le tableau suivant répertorie les rôles IAM de Container Analysis et les autorisations qu'ils incluent :

Rôle Titre Description Autorisations Ressource la plus basse
roles/containeranalysis.admin Administrateur Container Analysis Accès à toutes les ressources Container Analysis
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.create
  • containeranalysis.notes.delete
  • containeranalysis.notes.get
  • containeranalysis.notes.getIamPolicy
  • containeranalysis.notes.list
  • containeranalysis.notes.setIamPolicy
  • containeranalysis.notes.update
  • containeranalysis.occurrences.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.notes.attacher Agent d'association de notes Container Analysis Peut associer des occurrences Container Analysis à des notes.
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.get
roles/containeranalysis.notes.editor Éditeur de notes Container Analysis Peut modifier les notes Container Analysis
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.create
  • containeranalysis.notes.delete
  • containeranalysis.notes.get
  • containeranalysis.notes.list
  • containeranalysis.notes.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.notes.occurrences.viewer Lecteur d'occurrences Container Analysis pour les notes
  • containeranalysis.notes.get
  • containeranalysis.notes.listOccurrences
roles/containeranalysis.notes.viewer Lecteur de notes Container Analysis Peut afficher des notes Container Analysis
  • containeranalysis.notes.get
  • containeranalysis.notes.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.occurrences.editor Éditeur d'occurrences Container Analysis Peut modifier les occurrences Container Analysis
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.occurrences.viewer Lecteur d'occurrences Container Analysis Peut afficher des occurrences Container Analysis
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list