Container Analysis の有効化と無効化

Container Analysis は、次の 2 つの API を使用して、Container Registry のイメージのメタデータ ストレージと脆弱性スキャンを提供します。

  • Container Analysis API-プロジェクトでメタデータ ストレージを有効にします。この API の使用に追加料金はかかりません。

  • コンテナ スキャン API-プロジェクトで脆弱性スキャンを有効にします。スキャンされたイメージごとに課金されます。料金をご覧ください。

このページでは、既存のプロジェクトで両方の API を有効または無効にする方法について説明します。

Container Analysis API を有効にする

  1. Container Analysis をメタデータの管理にのみ使用し、プロジェクトで脆弱性スキャンを使用していない場合に、Container Analysis API を有効にします。既存のプロジェクトで API を有効にすることも、新しいプロジェクトを作成してから API を有効にすることもできます。

    Container Analysis API を有効にする

  2. 必要な IAM 権限を有効にします。すでにプロジェクト オーナーのロールが付与されている場合、この手順をスキップします。

    オカレンスを表示するには、次の事前定義された IAM ロールを付与します。付与を行うと次の必要な権限が自動的に付与されます。Container Analysis オカレンス閲覧者

Container Analysis API を無効にする

脆弱性スキャンを無効にするには、サービスを無効にする手順に従います。

コンテナ スキャン API を有効にする

  1. Container Scanning API を有効にします。これにより、脆弱性スキャンと Container Analysis API が有効になります。既存のプロジェクトで API を有効にすることも、新しいプロジェクトを作成してから API を有効にすることもできます。

    Container Scanning API を有効にする

  2. 必要な IAM 権限を有効にします。すでにプロジェクト オーナーのロールが付与されている場合、この手順をスキップします。

    オカレンスを表示するには、次の事前定義された IAM ロールを付与します。付与を行うと次の必要な権限が自動的に付与されます。Container Analysis オカレンス閲覧者

コンテナ スキャン API を無効にする

脆弱性スキャンを無効にするには、次の操作を行います。

  1. Cloud Console で Container Registry の設定ページを開きます。

    設定ページを開く

  2. [脆弱性スキャンを無効にする] をクリックします。

モニタリング期間を延長する

Container Analysis は、Container Registry 内のスキャンされたイメージの脆弱性メタデータを継続的にモニタリングします。継続的モニタリングのデフォルトの時間枠は 30 日です。この期間をすぎると、イメージは古くなり、メタデータは更新されません。

モニタリング期間を拡張するには、30 日以内にイメージを pull または push する必要があります。Istio やプロキシ イメージなど、頻繁に更新する必要のないコンテナを再プッシュするスケジュール タスクを作成することをおすすめします。

次のステップ