In diesem Dokument werden die IAM-Berechtigungen beschrieben, die zum Aufrufen von Informationen zur Sicherheit der Softwarelieferkette in der Google Cloud Console erforderlich sind.
Erforderliche Rollen
Damit Sie sich in der Google Cloud Console Statistiken zur Sicherheit der Softwarelieferkette ansehen können, benötigen Sie eine der folgenden Rollen oder eine Rolle mit entsprechenden Berechtigungen:
- Cloud Build-Betrachter (
roles/cloudbuild.builds.viewer): Hier können Sie Statistiken zu einem Build aufrufen. - Betrachter von Artefaktanalyse-Vorkommen (
roles/containeranalysis.occurrences.viewer): Hier können Sie sich Informationen zu Sicherheitslücken, Build-Herkunft und anderen Abhängigkeiten ansehen. - Cloud Run-Betrachter (
roles/run.viewer): Hier können Sie Statistiken für eine Cloud Run-Überarbeitung aufrufen. - Kubernetes Engine Cluster Viewer (
roles/container.clusterViewer): Hier können Sie Statistiken für einen GKE-Cluster aufrufen.
Diese Berechtigungen gewähren Zugriff auf Statistiken, aber nicht auf andere Aktionen wie das Ausführen von Builds in Cloud Build.
- Ausführliche Informationen zu den erforderlichen Berechtigungen für einen bestimmten Dienst finden Sie in der Dokumentation zu diesem Dienst.
- Weitere Informationen zum Gewähren von Berechtigungen finden Sie in Identity and Access Management-Dokumentation unter Berechtigungen für Projekte gewähren.
Viele Dienste haben standardmäßig Berechtigungen für andere Dienste im selben Projekt, können aber nicht auf Ressourcen in einem anderen Projekt zugreifen. Wenn Sie Dienste in verschiedenen Google Cloud-Projekten ausführen oder benutzerdefinierte IAM-Rollen oder benutzerdefinierte Dienstkonten verwenden, müssen Sie die entsprechenden Berechtigungen selbst gewähren.
Berechtigungen gewähren, wenn sich Dienste im selben Projekt befinden
Wenn Cloud Build, Artifact Registry, Artefaktanalyse und Cloud Run im selben Projekt ausgeführt werden, verwendet jeder Dienst das Standarddienstkonto, um im Namen des Dienstes zu handeln. Die Standardberechtigungen bleiben unverändert. Die Dienste können ohne Änderungen an den Berechtigungen zusammenarbeiten. Sie müssen jedoch Nutzern Berechtigungen erteilen, die Statistiken im Projekt sehen müssen.
- Berechtigungen zwischen Diensten
Es sind keine Änderungen erforderlich:
- Das standardmäßige Cloud Build-Dienstkonto hat Berechtigungen zum Hochladen und Herunterladen mit Artifact Registry und zum Lesen von Statistikdaten aus Artefaktanalyse. So kann der Dienst Container-Images mit Build-Herkunftsnachweis signieren und in Artifact Registry hochladen.
- Cloud Run-Überarbeitungen verwenden für Bereitstellungen das Compute Engine-Standarddienstkonto, das Berechtigungen zum Herunterladen von Images aus Artifact Registry und zum Lesen von Statistikdaten aus Artefaktanalyse hat.
- Nutzerberechtigungen zum Aufrufen von Statistiken
Sie müssen Nutzern von Cloud Build und Cloud Run die erforderlichen Rollen zuweisen, damit sie Statistiken aufrufen können.
Berechtigungen gewähren, wenn sich Dienste in verschiedenen Projekten befinden
Wenn Artifact Registry und Artefaktanalyse in einem separaten Projekt von anderen Google Cloud-Diensten ausgeführt werden, müssen Sie explizit Berechtigungen für alle projektübergreifenden Aktivitäten gewähren. Betrachten Sie die folgende Projektkonfiguration:
- Cloud Build wird in Projekt A ausgeführt
- Artifact Registry und Artefaktanalyse werden in Projekt B ausgeführt
- Cloud Run wird in Projekt C ausgeführt
- Berechtigungen zwischen Diensten
Cloud Build und Cloud Run können nicht auf Ressourcen in anderen Projekten zugreifen, ohne den Dienstkonten, die im Namen dieser Dienste handeln, explizit Zugriff zu gewähren. Sie müssen in Projekt B, in dem die Artefakte und Artefaktmetadaten gespeichert sind, die entsprechenden Berechtigungen für die Artifact Registry und Berechtigungen für die Artefaktanalyse gewähren.
Für Cloud Build müssen Sie in Projekt B die folgenden Rollen gewähren:
- Artifact Registry-Writer (
roles/artifactregistry.writer) gewährt Berechtigungen zum Hoch- und Herunterladen. - Die Rolle „Betrachter von Artefaktanalyse-Vorkommen“ (
roles/containeranalysis.occurrences.viewer) gewährt Berechtigungen zum Ansehen von Statistiken.
- Artifact Registry-Writer (
Für Cloud Run müssen Sie in Projekt B die folgenden Rollen gewähren:
- Die Rolle „Artifact Registry-Leser“ (
roles/artifactregistry.reader) gewährt Berechtigungen zum Herunterladen für Bereitstellungen. - Die Rolle „Betrachter von Artefaktanalyse-Vorkommen“ (
roles/containeranalysis.occurrences.viewer) gewährt Berechtigungen zum Ansehen von Statistiken.
- Die Rolle „Artifact Registry-Leser“ (
- Nutzerberechtigungen zum Aufrufen von Statistiken
In Projekt B müssen Sie Nutzern von Cloud Build und Cloud Run mit den erforderlichen Rollen die Berechtigung zum Ansehen von Statistiken erteilen.
Nächste Schritte
- Weitere Informationen dazu, wie Google Cloud-Dienste Ihre Softwarelieferkette schützen, finden Sie in der Übersicht.
- Informationen zu Sicherheitspraktiken für die Softwarelieferkette und dazu, wie Sie sie mit Google Cloud-Diensten implementieren können.