Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
En este documento se describen los permisos de gestión de identidades y accesos necesarios para ver las estadísticas de seguridad de la cadena de suministro de software en la consola de Google Cloud .
Roles obligatorios
Para ver las estadísticas de seguridad de la cadena de suministro de software en laGoogle Cloud consola, debes tener los siguientes roles o un rol con permisos equivalentes:
Lector de Cloud Build
(roles/cloudbuild.builds.viewer): consulta estadísticas de una compilación.
Lector de repeticiones de Artifact Analysis
(roles/containeranalysis.occurrences.viewer): consulta vulnerabilidades, procedencia de compilación y otra información sobre dependencias.
Lector de Cloud Run (roles/run.viewer): consulta estadísticas de una revisión de Cloud Run.
Estos permisos proporcionan acceso a las estadísticas, pero no permiten realizar otras acciones, como ejecutar compilaciones en Cloud Build.
Para obtener más información sobre los permisos obligatorios de un servicio concreto, consulta la documentación de ese servicio.
Para obtener información sobre cómo conceder permisos, consulta la documentación sobre gestión de identidades y accesos en Conceder permisos a proyectos.
De forma predeterminada, muchos servicios tienen permisos predeterminados para otros servicios del mismo proyecto, pero no pueden acceder a recursos de otro proyecto.
Si ejecutas servicios en diferentes proyectos Google Cloud o si usas roles de gestión de identidades y accesos personalizados o cuentas de servicio personalizadas, debes conceder los permisos adecuados.
Conceder permisos cuando los servicios están en el mismo proyecto
Si Cloud Build, Artifact Registry, Artifact Analysis y Cloud Run se ejecutan en el mismo proyecto, cada servicio usa la cuenta de servicio predeterminada para actuar en nombre del servicio y los permisos predeterminados no cambian. Todos los servicios pueden funcionar conjuntamente sin que se produzcan cambios en los permisos, pero debe conceder permisos a los usuarios que necesiten ver estadísticas en el proyecto.
Permisos entre servicios
No es necesario hacer ningún cambio:
La cuenta de servicio de Cloud Build predeterminada tiene permisos para subir y descargar contenido con Artifact Registry, así como para leer datos de estadísticas de Artifact Analysis. De esta forma, el servicio puede firmar imágenes de contenedor con la procedencia de la compilación y subirlas a Artifact Registry.
Las revisiones de Cloud Run usan la cuenta de servicio predeterminada de Compute Engine para las implementaciones, que tiene permisos para descargar imágenes de Artifact Registry y leer datos de estadísticas de Artifact Analysis.
Permisos de usuario para ver estadísticas
Debes asignar los roles necesarios a los usuarios de Cloud Build y Cloud Run para que puedan ver las estadísticas.
Conceder permisos cuando los servicios están en proyectos diferentes
Cuando Artifact Registry y Artifact Analysis se ejecutan en un proyecto independiente de otros servicios, debes conceder permisos explícitamente para todas las actividades entre proyectos. Google Cloud Considera la siguiente configuración del proyecto:
Cloud Build se ejecuta en el proyecto A
Artifact Registry y Artifact Analysis se ejecutan en el proyecto B
Cloud Run se ejecuta en el proyecto C
Permisos entre servicios
Cloud Build y Cloud Run no pueden acceder a recursos de otros proyectos sin conceder explícitamente acceso a las cuentas de servicio que actúan en nombre de estos servicios. Debes conceder los permisos de Artifact Registry y Artifact Analysis adecuados en el proyecto B, donde se almacenan los artefactos y sus metadatos.
En Cloud Build, debes conceder estos roles en el proyecto B:
Artifact Registry Writer (roles/artifactregistry.writer) concede permisos para subir y descargar.
Lector de repeticiones de Artifact Analysis
(roles/containeranalysis.occurrences.viewer) otorga permisos para
mostrar estadísticas.
En Cloud Run, debes asignar estos roles en el proyecto B:
Lector de Artifact Registry (roles/artifactregistry.reader) otorga permisos
de descarga para las implementaciones.
Lector de repeticiones de Artifact Analysis
(roles/containeranalysis.occurrences.viewer) otorga permisos para
mostrar estadísticas.
Permisos de usuario para ver estadísticas
En el proyecto B, debes conceder a los usuarios de Cloud Build y Cloud Run los roles necesarios para ver las estadísticas.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-19 (UTC)."],[],[],null,["# Configure access\n\nThis document describes the IAM permissions that are required to\nview software supply chain security insights in Google Cloud console.\n\nRequired roles\n--------------\n\nTo view software supply chain security insights in\nGoogle Cloud console, you must have the following roles, or a role\nwith equivalent permissions:\n\n- [Cloud Build Viewer](/iam/docs/understanding-roles#cloudbuild.builds.viewer) (`roles/cloudbuild.builds.viewer`): View insights for a build.\n- [Artifact Analysis Occurrences Viewer](/iam/docs/understanding-roles#containeranalysis.occurrences.viewer) (`roles/containeranalysis.occurrences.viewer`): View vulnerabilities, build provenance, and other dependency information.\n- [Cloud Run Viewer](/iam/docs/understanding-roles#run.viewer) (`roles/run.viewer`): View insights for a Cloud Run revision.\n- [Kubernetes Engine Cluster Viewer](/iam/docs/understanding-roles#container.clusterViewer) (`roles/container.clusterViewer`): View insights for a GKE cluster.\n\nThese permissions provide access to insights, but they don't provide permissions\nto perform other actions such as running builds in Cloud Build.\n\n- For details about required permissions for a specific service, refer to the documentation for that service.\n- To learn about granting permissions, see the Identity and Access Management documentation on [granting permissions to projects](/iam/docs/granting-changing-revoking-access).\n\nBy default, many services have default permissions for other services in the\nsame project but cannot access resources in another project.\nIf you are running services in different Google Cloud projects or\nif you are using custom IAM roles or custom service accounts,\nyou must grant the appropriate permissions yourself.\n\nGranting permissions when services are in the same project\n----------------------------------------------------------\n\nIf Cloud Build, Artifact Registry, Artifact Analysis, and\nCloud Run are all running in the same project, each service uses the\ndefault service account to act on behalf of the service, and the default\npermissions are unchanged. The services can all work together without changes\nto permissions, but you do need to grant permissions to users that need to see\ninsights in the project.\n\nPermissions between services\n\n: No changes are required:\n\n - The default [Cloud Build service\n account](/build/docs/cloud-build-service-account#default_permissions_of_service_account) has permissions to upload and download with Artifact Registry and read insight data from Artifact Analysis, so the service can sign container images with build provenance and push them to Artifact Registry.\n - Cloud Run revisions use the [Compute Engine default\n service\n account](/compute/docs/access/service-accounts#default_service_account) for deployments, which has permissions to download images from Artifact Registry and read insight data from Artifact Analysis.\n\nUser permissions to view insights\n\n: You must grant users of Cloud Build and\n Cloud Run with the [required roles](#permissions-insights)\n to view insights.\n\nGranting permissions when services are in different projects\n------------------------------------------------------------\n\nWhen Artifact Registry and Artifact Analysis are running in\nseparate project from other Google Cloud services, you must explicitly\ngrant permissions for all cross-project activity. Consider the following project\nsetup:\n\n- Cloud Build runs in project A\n- Artifact Registry and Artifact Analysis run in project B\n- Cloud Run runs in project C\n\nPermissions between services\n\n: Cloud Build and Cloud Run cannot access resources in other\n projects without explicitly granting access to the service accounts that act on\n behalf of these services. You must grant appropriate [Artifact Registry\n permissions](/artifact-registry/docs/access-control#permissions) and\n [Artifact Analysis\n permissions](/container-analysis/docs/ca-access-control) in project B where the\n artifacts and artifact metadata are stored.\n\n: For Cloud Build, you must grant these roles in project B:\n\n - Artifact Registry Writer (`roles/artifactregistry.writer`) grants permissions to upload and download.\n - Artifact Analysis Occurrences Viewer (`roles/containeranalysis.occurrences.viewer`) grants permissions to display insights.\n\n: For Cloud Run, you must grant these roles in project B:\n\n - Artifact Registry Reader (`roles/artifactregistry.reader`) grants permissions to download for deployments.\n - Artifact Analysis Occurrences Viewer (`roles/containeranalysis.occurrences.viewer`) grants permissions to display insights.\n\nUser permissions to view insights\n\n: In project B, you must grant users of Cloud Build and\n Cloud Run with the [required roles](#permissions-insights)\n view insights.\n\n What's next\n -----------\n\n- Learn more about how Google Cloud services protect your software supply chain in the [overview](/software-supply-chain-security/docs/overview)\n- Learn about [software supply chain security practices](/software-supply-chain-security/docs/practices) and how Google Cloud services can help you to implement them."]]
