Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
In diesem Dokument werden die IAM-Berechtigungen beschrieben, die erforderlich sind, um Informationen zur Sicherheit der Software-Lieferkette in der Google Cloud -Konsole aufzurufen.
Erforderliche Rollen
Wenn Sie Statistiken zur Sicherheit der Softwarelieferkette in derGoogle Cloud -Konsole aufrufen möchten, benötigen Sie die folgenden Rollen oder eine Rolle mit entsprechenden Berechtigungen:
Cloud Build-Betrachter (roles/cloudbuild.builds.viewer): Statistiken für einen Build ansehen.
Betrachter von Artefaktanalyse-Vorkommen (roles/containeranalysis.occurrences.viewer): Sicherheitslücken, Build-Herkunft und andere Abhängigkeitsinformationen ansehen.
Cloud Run-Betrachter (roles/run.viewer): Sie können Statistiken für eine Cloud Run-Überarbeitung ansehen.
Diese Berechtigungen ermöglichen den Zugriff auf Statistiken, aber nicht auf andere Aktionen wie das Ausführen von Builds in Cloud Build.
Weitere Informationen zu den erforderlichen Berechtigungen für einen bestimmten Dienst finden Sie in der Dokumentation zu diesem Dienst.
Informationen zum Erteilen von Berechtigungen finden Sie in der Dokumentation zu Identity and Access Management unter Berechtigungen für Projekte erteilen.
Standardmäßig haben viele Dienste Standardberechtigungen für andere Dienste im selben Projekt, können aber nicht auf Ressourcen in einem anderen Projekt zugreifen.
Wenn Sie Dienste in verschiedenen Google Cloud Projekten ausführen oder benutzerdefinierte IAM-Rollen oder benutzerdefinierte Dienstkonten verwenden, müssen Sie die entsprechenden Berechtigungen selbst erteilen.
Berechtigungen erteilen, wenn sich Dienste im selben Projekt befinden
Wenn Cloud Build, Artifact Registry, Artefaktanalyse und Cloud Run alle im selben Projekt ausgeführt werden, verwendet jeder Dienst das Standarddienstkonto, um im Namen des Dienstes zu agieren. Die Standardberechtigungen bleiben unverändert. Die Dienste können alle ohne Änderungen an den Berechtigungen zusammenarbeiten. Sie müssen jedoch Nutzern, die Statistiken im Projekt sehen müssen, Berechtigungen erteilen.
Berechtigungen zwischen Diensten
Es sind keine Änderungen erforderlich:
Das Cloud Build-Standarddienstkonto hat Berechtigungen zum Hoch- und Herunterladen mit Artifact Registry und zum Lesen von Insight-Daten aus Artefaktanalyse. So kann der Dienst Container-Images mit Build-Herkunft signieren und in Artifact Registry übertragen.
Cloud Run-Revisionen verwenden das Compute Engine-Standarddienstkonto für Bereitstellungen. Dieses Konto hat Berechtigungen zum Herunterladen von Bildern aus Artifact Registry und zum Lesen von Analysedaten aus Artefaktanalyse.
Nutzerberechtigungen zum Aufrufen von Statistiken
Sie müssen Nutzern von Cloud Build und Cloud Run die erforderlichen Rollen zuweisen, damit sie Statistiken aufrufen können.
Berechtigungen erteilen, wenn sich Dienste in verschiedenen Projekten befinden
Wenn Artifact Registry und Artefaktanalyse in einem separaten Projekt als andere Google Cloud -Dienste ausgeführt werden, müssen Sie Berechtigungen für alle projektübergreifenden Aktivitäten explizit erteilen. Betrachten Sie die folgende Projekteinrichtung:
Cloud Build wird in Projekt A ausgeführt
Artifact Registry und Artefaktanalyse werden in Projekt B ausgeführt.
Cloud Run wird in Projekt C ausgeführt
Berechtigungen zwischen Diensten
Cloud Build und Cloud Run können nicht auf Ressourcen in anderen Projekten zugreifen, ohne dass den Dienstkonten, die im Namen dieser Dienste agieren, explizit Zugriff gewährt wird. Sie müssen die entsprechenden Artifact Registry-Berechtigungen und Berechtigungen für die Artefaktanalyse in Projekt B erteilen, in dem die Artefakte und Artefaktmetadaten gespeichert sind.
Für Cloud Build müssen Sie diese Rollen in Projekt B zuweisen:
Die Rolle „Artifact Registry Writer“ (roles/artifactregistry.writer) gewährt Berechtigungen zum Hoch- und Herunterladen.
Die Rolle „Betrachter von Artefaktanalyse-Vorkommen“ (roles/containeranalysis.occurrences.viewer) gewährt Berechtigungen zum Anzeigen von Statistiken.
Für Cloud Run müssen Sie diese Rollen in Projekt B zuweisen:
Die Rolle „Artifact Registry-Leser“ (roles/artifactregistry.reader) gewährt Berechtigungen zum Herunterladen für Bereitstellungen.
Die Rolle „Betrachter von Artefaktanalyse-Vorkommen“ (roles/containeranalysis.occurrences.viewer) gewährt Berechtigungen zum Anzeigen von Statistiken.
Nutzerberechtigungen zum Aufrufen von Statistiken
In Projekt B müssen Sie Nutzern von Cloud Build und Cloud Run die erforderlichen Rollen zuweisen, damit sie Statistiken aufrufen können.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-04 (UTC)."],[],[],null,["# Configure access\n\nThis document describes the IAM permissions that are required to\nview software supply chain security insights in Google Cloud console.\n\nRequired roles\n--------------\n\nTo view software supply chain security insights in\nGoogle Cloud console, you must have the following roles, or a role\nwith equivalent permissions:\n\n- [Cloud Build Viewer](/iam/docs/understanding-roles#cloudbuild.builds.viewer) (`roles/cloudbuild.builds.viewer`): View insights for a build.\n- [Artifact Analysis Occurrences Viewer](/iam/docs/understanding-roles#containeranalysis.occurrences.viewer) (`roles/containeranalysis.occurrences.viewer`): View vulnerabilities, build provenance, and other dependency information.\n- [Cloud Run Viewer](/iam/docs/understanding-roles#run.viewer) (`roles/run.viewer`): View insights for a Cloud Run revision.\n- [Kubernetes Engine Cluster Viewer](/iam/docs/understanding-roles#container.clusterViewer) (`roles/container.clusterViewer`): View insights for a GKE cluster.\n\nThese permissions provide access to insights, but they don't provide permissions\nto perform other actions such as running builds in Cloud Build.\n\n- For details about required permissions for a specific service, refer to the documentation for that service.\n- To learn about granting permissions, see the Identity and Access Management documentation on [granting permissions to projects](/iam/docs/granting-changing-revoking-access).\n\nBy default, many services have default permissions for other services in the\nsame project but cannot access resources in another project.\nIf you are running services in different Google Cloud projects or\nif you are using custom IAM roles or custom service accounts,\nyou must grant the appropriate permissions yourself.\n\nGranting permissions when services are in the same project\n----------------------------------------------------------\n\nIf Cloud Build, Artifact Registry, Artifact Analysis, and\nCloud Run are all running in the same project, each service uses the\ndefault service account to act on behalf of the service, and the default\npermissions are unchanged. The services can all work together without changes\nto permissions, but you do need to grant permissions to users that need to see\ninsights in the project.\n\nPermissions between services\n\n: No changes are required:\n\n - The default [Cloud Build service\n account](/build/docs/cloud-build-service-account#default_permissions_of_service_account) has permissions to upload and download with Artifact Registry and read insight data from Artifact Analysis, so the service can sign container images with build provenance and push them to Artifact Registry.\n - Cloud Run revisions use the [Compute Engine default\n service\n account](/compute/docs/access/service-accounts#default_service_account) for deployments, which has permissions to download images from Artifact Registry and read insight data from Artifact Analysis.\n\nUser permissions to view insights\n\n: You must grant users of Cloud Build and\n Cloud Run with the [required roles](#permissions-insights)\n to view insights.\n\nGranting permissions when services are in different projects\n------------------------------------------------------------\n\nWhen Artifact Registry and Artifact Analysis are running in\nseparate project from other Google Cloud services, you must explicitly\ngrant permissions for all cross-project activity. Consider the following project\nsetup:\n\n- Cloud Build runs in project A\n- Artifact Registry and Artifact Analysis run in project B\n- Cloud Run runs in project C\n\nPermissions between services\n\n: Cloud Build and Cloud Run cannot access resources in other\n projects without explicitly granting access to the service accounts that act on\n behalf of these services. You must grant appropriate [Artifact Registry\n permissions](/artifact-registry/docs/access-control#permissions) and\n [Artifact Analysis\n permissions](/container-analysis/docs/ca-access-control) in project B where the\n artifacts and artifact metadata are stored.\n\n: For Cloud Build, you must grant these roles in project B:\n\n - Artifact Registry Writer (`roles/artifactregistry.writer`) grants permissions to upload and download.\n - Artifact Analysis Occurrences Viewer (`roles/containeranalysis.occurrences.viewer`) grants permissions to display insights.\n\n: For Cloud Run, you must grant these roles in project B:\n\n - Artifact Registry Reader (`roles/artifactregistry.reader`) grants permissions to download for deployments.\n - Artifact Analysis Occurrences Viewer (`roles/containeranalysis.occurrences.viewer`) grants permissions to display insights.\n\nUser permissions to view insights\n\n: In project B, you must grant users of Cloud Build and\n Cloud Run with the [required roles](#permissions-insights)\n view insights.\n\n What's next\n -----------\n\n- Learn more about how Google Cloud services protect your software supply chain in the [overview](/software-supply-chain-security/docs/overview)\n- Learn about [software supply chain security practices](/software-supply-chain-security/docs/practices) and how Google Cloud services can help you to implement them."]]