アクセス制御の構成

Container Analysis は、Identity and Access Management(IAM)を使用して、実行するタスクに応じて、特定のリソースに対するきめ細かいアクセス権を付与します。

このページでは、Container Analysis へのアクセスを制御する権限について説明します。

Container Analysis のメタデータ管理には、異なるレベルのアクセスを必要とする 2 つのエンティティが関与します。

  • メモに格納されたメタデータを作成するプロバイダ
  • メモのオカレンスを識別する顧客

準備

  1. メタデータ ストレージのコンセプトを読む。
  2. リソースに対するアクセス権の付与、取り消し、変更の方法を読む。

メタデータ プロバイダとメタデータ顧客用の IAM 役割

メタデータ プロバイダ

Container Analysis のメタデータ プロバイダは、リソース メタデータのライターです。 メモが作成されます。これは、リソースに対して発生する可能性のあることを説明するものです。

メモの保存専用の Google Cloud プロジェクトを作成することをおすすめします。そのプロジェクトで、次のロールを持つユーザーまたはサービス アカウントにアクセスを制限します。

  • Container Analysis メモの編集者 - 顧客がオカレンスに添付できるメモを作成します。

  • Container Analysis メモ閲覧者向けオカレンス - メモに添付されたすべてのオカレンスを一覧表示します。

メタデータ顧客

Container Analysis のメタデータ顧客は、メタデータ リソースに情報を追加します。オカレンスを作成します。これは、メモのインスタンスであり、プロジェクト内の特定のイメージをターゲットにするものです。

顧客がオカレンスをメモに追加して一覧表示できるようにするには、ユーザーまたはサービス アカウントに次の役割を付与します。

  • Container Analysis オカレンス編集者 - 顧客プロジェクトでこの役割を付与してオカレンスを作成します。

  • Container Analysis メモの添付者 - メモにオカレンスを添付するには、プロバイダ プロジェクトでこの役割を付与します。

  • Container Analysis オカレンスの閲覧者 - 顧客プロジェクトでこの役割を付与して、プロジェクト内のオカレンスを一覧表示します。

脆弱性メタデータ

脆弱性メタデータに対する追加のセキュリティ対策として、Container Analysis により多数の顧客の代わりに脆弱性オカレンスをプロバイダが作成、管理できるようにすることがあります。メタデータ顧客には、自身のプロジェクトでのサードパーティ プロバイダの脆弱性オカレンスに対する書き込み権限がありません。

たとえば、Container Analysis はプロジェクトでイメージの脆弱性オカレンスを作成できますが、Container Analysis によって検出された脆弱性情報を追加または削除することはできません。

これにより、顧客側の脆弱性メタデータの操作を防止することによって、セキュリティ ポリシーを適用できるようになります。

IAM 役割

次の表に、Container Analysis の IAM ロールと、それに含まれる権限を示します。

ロール 役職 説明 権限 最下位のリソース
roles/containeranalysis.admin Container Analysis 管理者 すべての Container Analysis リソースへのアクセス権。
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.create
  • containeranalysis.notes.delete
  • containeranalysis.notes.get
  • containeranalysis.notes.getIamPolicy
  • containeranalysis.notes.list
  • containeranalysis.notes.setIamPolicy
  • containeranalysis.notes.update
  • containeranalysis.occurrences.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.notes.attacher Container Analysis メモ添付者 Container Analysis のオカレンスをメモに添付できます。
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.get
roles/containeranalysis.notes.editor Container Analysis メモ編集者 Container Analysis のメモを編集できる権限。
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.create
  • containeranalysis.notes.delete
  • containeranalysis.notes.get
  • containeranalysis.notes.list
  • containeranalysis.notes.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.notes.occurrences.viewer メモに対する Container Analysis 実行回数の閲覧者
  • containeranalysis.notes.get
  • containeranalysis.notes.listOccurrences
roles/containeranalysis.notes.viewer Container Analysis メモ閲覧者 Container Analysis のメモを閲覧する権限。
  • containeranalysis.notes.get
  • containeranalysis.notes.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.occurrences.editor Container Analysis 実行回数の編集者 Container Analysis のオカレンスを編集する権限。
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.occurrences.viewer Container Analysis 実行回数の閲覧者 Container Analysis のオカレンスを閲覧する権限。
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list