Se usó la API de Cloud Translation para traducir esta página.

Integra la validación de IaC con Cloud Build

Puedes escribir una configuración de compilación que le indique a Cloud Build que valide la infraestructura como código (IaC) que forma parte de tu compilación. La validación de IaC te permite determinar si las definiciones de recursos de Terraform infringen las políticas de la organización existentes y los detectores de Security Health Analytics que se aplican a tus recursos de Google Cloud .

Para obtener más información sobre la validación de IaC, consulta Valida tu IaC en función de las políticas de tu organización. Google Cloud

Antes de comenzar

Completa estas tareas para comenzar a usar la validación de IaC con Cloud Build.

Activa el nivel Premium o Enterprise de Security Command Center

Verifica que el nivel Premium o Enterprise de Security Command Center esté activado a nivel de la organización.

Si activas Security Command Center, se habilitarán las APIs de securityposture.googleapis.com y securitycentermanagement.googleapis.com.

Configura los permisos

Make sure that you have the following role or roles on the organization:
- Security Posture Shift-Left Validator
- Log Writer
- Storage Writer
- Storage Reader
Check for the roles
1. In the Google Cloud console, go to the IAM page.
  Go to IAM
2. Select the organization.
3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
1. In the Google Cloud console, go to the IAM page.
  Ir a IAM
2. Selecciona la organización.
3. Haz clic en Grant access.
4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.
5. En la lista Seleccionar un rol, elige un rol.
6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
7. Haz clic en Guardar.
Para obtener más información sobre los permisos de validación de IaC, consulta IAM para activaciones a nivel de la organización.

Habilita la API de Cloud Build
1. Enable the Cloud Build API.
  Enable the API
Define tus políticas

Define tus políticas de la organización y los detectores de Security Health Analytics. Para definir estas políticas con una postura de seguridad, completa las tareas en Crea y, luego, implementa una postura.

Crea tu código de Terraform

Para obtener instrucciones, consulta Crea tu código de Terraform.

Valida tu IaC en Cloud Build

Nota: Los ejemplos de esta sección son ejemplos de YAML. La validación de IaC también admite archivos de compilación JSON.

Agrega las siguientes tareas a tu archivo cloudbuild.yaml:
1. Inicializa Terraform mediante este comando:
```
- name: hashicorp/terraform
  args:
    - '-c'
    - |
      terraform init \
        -backend-config="bucket=STATE_BUCKET" \
        -backend-config="prefix=REPOSITORY_NAME" \
  dir: FOLDER
  id: Terraform Init
  entrypoint: sh
```
  Reemplaza lo siguiente:
  - STATE_BUCKET con el nombre del bucket de Cloud Storage en el que se almacenará el estado de Terraform
  - REPOSITORY_NAME por el repositorio que aloja tu código de Terraform.
  - FOLDER por el nombre de la carpeta en la que se guardarán los artefactos de Terraform.
2. Crea un archivo de plan:
```
- name: hashicorp/terraform
  args:
    - '-c'
    - |
      terraform plan -out tf.plan
  dir: FOLDER
  id: Terraform Plan
  entrypoint: sh
```
3. Convierte el archivo de plan al formato JSON:
```
- name: hashicorp/terraform
  args:
    - '-c'
    - |
      terraform show -json tf.plan > plan.json
  dir: FOLDER
  id: Terraform Show
  entrypoint: sh
```
4. Crea el informe de validación de IaC:
```
- name: gcr.io/cloud-builders/gcloud
  args:
    - '-c'
    - |
      gcloud scc iac-validation-reports create \
      organizations/ORGANIZATION_ID/locations/global --tf-plan-file=plan.json \
      --format="json(response.iacValidationReport)" > IaCScanReport_$BUILD_ID.json
  dir: FOLDER
  id: Run IaC scan
  entrypoint: /bin/bash
```
  Reemplaza ORGANIZATION_ID por el ID de tu organización.
5. Si usas Cloud Storage, sube el archivo de resultados JSON a Cloud Storage:
```
- name: gcr.io/cloud-builders/gsutil
  args:
    - cp
    - IaCScanReport_$BUILD_ID.json
    - SCAN_RESULT_FILE_BUCKET
  dir: FOLDER
  id: Upload report file
```
  Reemplaza SCAN_RESULT_FILE_BUCKET por el bucket de Cloud Storage en el que se subirá el archivo de resultados.
6. Para ver los resultados en formato SARIF, haz lo siguiente:
  1. Convierte el archivo:
    - name: golang args: - '-c' - | go run github.com/google/gcp-scc-iac-validation-utils/SARIFConverter@latest \ --inputFilePath=IaCScanReport_$BUILD_ID.json --outputFilePath=IaCScanReport_$BUILD_ID.sarif.json dir: FOLDER id: Convert to SARIF format entrypoint: /bin/bash
  2. Opcional: Sube el archivo a Cloud Storage:
    - name: gcr.io/cloud-builders/gsutil args: - cp - IaCScanReport_$BUILD_ID.sarif.json - SCAN_RESULT_FILE_BUCKET dir: FOLDER id: Upload report file
7. Valida los resultados. Completa este paso en el archivo JSON de resultados que no convertiste al formato SARIF:
```
- name: golang
  args:
    - '-c'
    - |
      go run github.com/google/gcp-scc-iac-validation-utils/ReportValidator@latest \
        --inputFilePath=IaCScanReport_$BUILD_ID.json --failure_expression=FAILURE_CRITERIA
  dir: FOLDER
  id: Validate results
  entrypoint: /bin/bash
```
  Reemplaza FAILURE_CRITERIA por los criterios del umbral de fallas que determinan cuándo falla la compilación. Los criterios de umbral se basan en la cantidad de problemas de gravedad crítica, alta, media y baja que encuentra el análisis de validación de IaC. FAILURE_CRITERIA especifica cuántos problemas de cada gravedad se permiten y cómo se agregan los problemas (AND o OR). Por ejemplo, si deseas que la compilación falle si encuentra un problema crítico o un problema de gravedad alta, establece FAILURE_CRITERIA en Critical:1,High:1,Operator:OR. El valor predeterminado es Critical:1,High:1,Medium:1,Low:1,Operator:OR, lo que significa que, si el análisis de validación de IaC detecta un incumplimiento de cualquier gravedad, la compilación debe fallar.
8. Si falla la compilación, resuelve los incumplimientos en tu código de Terraform.
¿Qué sigue?
- Visualiza el informe de validación de IaC en Cloud Storage.
- Revisa las secuencias de comandos de validación de IaC en GitHub.
- Revisa la muestra de cloud.yaml.

Integra la validación de IaC con Cloud Build Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Antes de comenzar

Activa el nivel Premium o Enterprise de Security Command Center

Configura los permisos

Check for the roles

Grant the roles

Habilita la API de Cloud Build

Define tus políticas

Crea tu código de Terraform

Valida tu IaC en Cloud Build

¿Qué sigue?

Integra la validación de IaC con Cloud Build