Zugriff konfigurieren

In diesem Dokument werden die IAM-Berechtigungen beschrieben, die erforderlich sind, um Informationen zur Sicherheit der Software-Lieferkette in der Google Cloud -Konsole aufzurufen.

Erforderliche Rollen

Wenn Sie Statistiken zur Sicherheit der Softwarelieferkette in derGoogle Cloud -Konsole aufrufen möchten, benötigen Sie die folgenden Rollen oder eine Rolle mit entsprechenden Berechtigungen:

Diese Berechtigungen ermöglichen den Zugriff auf Statistiken, aber nicht auf andere Aktionen wie das Ausführen von Builds in Cloud Build.

  • Weitere Informationen zu den erforderlichen Berechtigungen für einen bestimmten Dienst finden Sie in der Dokumentation zu diesem Dienst.
  • Informationen zum Erteilen von Berechtigungen finden Sie in der Dokumentation zu Identity and Access Management unter Berechtigungen für Projekte erteilen.

Standardmäßig haben viele Dienste Standardberechtigungen für andere Dienste im selben Projekt, können aber nicht auf Ressourcen in einem anderen Projekt zugreifen. Wenn Sie Dienste in verschiedenen Google Cloud Projekten ausführen oder benutzerdefinierte IAM-Rollen oder benutzerdefinierte Dienstkonten verwenden, müssen Sie die entsprechenden Berechtigungen selbst erteilen.

Berechtigungen erteilen, wenn sich Dienste im selben Projekt befinden

Wenn Cloud Build, Artifact Registry, Artefaktanalyse und Cloud Run alle im selben Projekt ausgeführt werden, verwendet jeder Dienst das Standarddienstkonto, um im Namen des Dienstes zu agieren. Die Standardberechtigungen bleiben unverändert. Die Dienste können alle ohne Änderungen an den Berechtigungen zusammenarbeiten. Sie müssen jedoch Nutzern, die Statistiken im Projekt sehen müssen, Berechtigungen erteilen.

Berechtigungen zwischen Diensten

Es sind keine Änderungen erforderlich:

  • Das Cloud Build-Standarddienstkonto hat Berechtigungen zum Hoch- und Herunterladen mit Artifact Registry und zum Lesen von Insight-Daten aus Artefaktanalyse. So kann der Dienst Container-Images mit Build-Herkunft signieren und in Artifact Registry übertragen.
  • Cloud Run-Revisionen verwenden das Compute Engine-Standarddienstkonto für Bereitstellungen. Dieses Konto hat Berechtigungen zum Herunterladen von Bildern aus Artifact Registry und zum Lesen von Analysedaten aus Artefaktanalyse.
Nutzerberechtigungen zum Aufrufen von Statistiken

Sie müssen Nutzern von Cloud Build und Cloud Run die erforderlichen Rollen zuweisen, damit sie Statistiken aufrufen können.

Berechtigungen erteilen, wenn sich Dienste in verschiedenen Projekten befinden

Wenn Artifact Registry und Artefaktanalyse in einem separaten Projekt als andere Google Cloud -Dienste ausgeführt werden, müssen Sie Berechtigungen für alle projektübergreifenden Aktivitäten explizit erteilen. Betrachten Sie die folgende Projekteinrichtung:

  • Cloud Build wird in Projekt A ausgeführt
  • Artifact Registry und Artefaktanalyse werden in Projekt B ausgeführt.
  • Cloud Run wird in Projekt C ausgeführt
Berechtigungen zwischen Diensten

Cloud Build und Cloud Run können nicht auf Ressourcen in anderen Projekten zugreifen, ohne dass den Dienstkonten, die im Namen dieser Dienste agieren, explizit Zugriff gewährt wird. Sie müssen die entsprechenden Artifact Registry-Berechtigungen und Berechtigungen für die Artefaktanalyse in Projekt B erteilen, in dem die Artefakte und Artefaktmetadaten gespeichert sind.

Für Cloud Build müssen Sie diese Rollen in Projekt B zuweisen:

  • Die Rolle „Artifact Registry Writer“ (roles/artifactregistry.writer) gewährt Berechtigungen zum Hoch- und Herunterladen.
  • Die Rolle „Betrachter von Artefaktanalyse-Vorkommen“ (roles/containeranalysis.occurrences.viewer) gewährt Berechtigungen zum Anzeigen von Statistiken.

Für Cloud Run müssen Sie diese Rollen in Projekt B zuweisen:

  • Die Rolle „Artifact Registry-Leser“ (roles/artifactregistry.reader) gewährt Berechtigungen zum Herunterladen für Bereitstellungen.
  • Die Rolle „Betrachter von Artefaktanalyse-Vorkommen“ (roles/containeranalysis.occurrences.viewer) gewährt Berechtigungen zum Anzeigen von Statistiken.
Nutzerberechtigungen zum Aufrufen von Statistiken

In Projekt B müssen Sie Nutzern von Cloud Build und Cloud Run die erforderlichen Rollen zuweisen, damit sie Statistiken aufrufen können.

Nächste Schritte