Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En este documento, se describen los permisos de IAM necesarios para ver estadísticas de seguridad de la cadena de suministro de software en la consola de Google Cloud .
Roles obligatorios
Para ver las estadísticas de seguridad de la cadena de suministro de software en la consola deGoogle Cloud , debes tener los siguientes roles o un rol con permisos equivalentes:
Visualizador de casos de Artifact Analysis (roles/containeranalysis.occurrences.viewer): Consulta vulnerabilidades, procedencia de la compilación y otra información de dependencias.
Estos permisos brindan acceso a estadísticas, pero no permiten realizar otras acciones, como ejecutar compilaciones en Cloud Build.
Para obtener detalles sobre los permisos obligatorios para un servicio específico, consulta la documentación de ese servicio.
Para obtener información sobre cómo otorgar permisos, consulta la documentación de Identity and Access Management sobre cómo otorgar permisos a proyectos.
De forma predeterminada, muchos servicios tienen permisos predeterminados para otros servicios en el mismo proyecto, pero no pueden acceder a recursos en otro proyecto.
Si ejecutas servicios en diferentes proyectos de Google Cloud o si usas roles de IAM personalizados o cuentas de servicio personalizadas, debes otorgar los permisos correspondientes por tu cuenta.
Cómo otorgar permisos cuando los servicios están en el mismo proyecto
Si Cloud Build, Artifact Registry, Artifact Analysis y Cloud Run se ejecutan en el mismo proyecto, cada servicio usa la cuenta de servicio predeterminada para actuar en nombre del servicio, y los permisos predeterminados no se modifican. Todos los servicios pueden trabajar juntos sin cambios en los permisos, pero debes otorgar permisos a los usuarios que necesiten ver estadísticas en el proyecto.
Permisos entre servicios
No se requieren cambios:
La cuenta de servicio de Cloud Build predeterminada tiene permisos para subir y descargar con Artifact Registry, y para leer datos de estadísticas de Artifact Analysis, de modo que el servicio puede firmar imágenes de contenedor con información de procedencia de la compilación y enviarlas a Artifact Registry.
Las revisiones de Cloud Run usan la cuenta de servicio predeterminada de Compute Engine para las implementaciones, que tiene permisos para descargar imágenes de Artifact Registry y leer datos de estadísticas de Artifact Analysis.
Permisos del usuario para ver estadísticas
Debes otorgar a los usuarios de Cloud Build y Cloud Run los roles necesarios para ver estadísticas.
Cómo otorgar permisos cuando los servicios se encuentran en proyectos diferentes
Cuando Artifact Registry y Artifact Analysis se ejecutan en un proyecto independiente de otros servicios de Google Cloud , debes otorgar permisos de forma explícita para todas las actividades entre proyectos. Considera la siguiente configuración del proyecto:
Cloud Build se ejecuta en el proyecto A
Artifact Registry y Artifact Analysis se ejecutan en el proyecto B
Cloud Run se ejecuta en el proyecto C
Permisos entre servicios
Cloud Build y Cloud Run no pueden acceder a recursos en otros proyectos sin otorgar acceso de forma explícita a las cuentas de servicio que actúan en nombre de estos servicios. Debes otorgar los permisos de Artifact Registry y los permisos de Artifact Analysis adecuados en el proyecto B en el que se almacenan los artefactos y los metadatos de artefactos.
En el caso de Cloud Build, debes otorgar estos roles en el proyecto B:
El rol de escritor de Artifact Registry (roles/artifactregistry.writer) otorga permisos para subir y descargar.
El rol de Visualizador de casos de Artifact Analysis (roles/containeranalysis.occurrences.viewer) otorga permisos para mostrar estadísticas.
En el caso de Cloud Run, debes otorgar estos roles en el proyecto B:
El rol de lector de Artifact Registry (roles/artifactregistry.reader) otorga permisos de descarga para las implementaciones.
El rol de Visualizador de casos de Artifact Analysis (roles/containeranalysis.occurrences.viewer) otorga permisos para mostrar estadísticas.
Permisos del usuario para ver estadísticas
En el proyecto B, debes otorgar a los usuarios de Cloud Build y Cloud Run con los roles requeridos la capacidad de ver estadísticas.
¿Qué sigue?
Obtén más información sobre cómo los servicios de Google Cloud protegen tu cadena de suministro de software en la descripción general.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[],[],null,["# Configure access\n\nThis document describes the IAM permissions that are required to\nview software supply chain security insights in Google Cloud console.\n\nRequired roles\n--------------\n\nTo view software supply chain security insights in\nGoogle Cloud console, you must have the following roles, or a role\nwith equivalent permissions:\n\n- [Cloud Build Viewer](/iam/docs/understanding-roles#cloudbuild.builds.viewer) (`roles/cloudbuild.builds.viewer`): View insights for a build.\n- [Artifact Analysis Occurrences Viewer](/iam/docs/understanding-roles#containeranalysis.occurrences.viewer) (`roles/containeranalysis.occurrences.viewer`): View vulnerabilities, build provenance, and other dependency information.\n- [Cloud Run Viewer](/iam/docs/understanding-roles#run.viewer) (`roles/run.viewer`): View insights for a Cloud Run revision.\n- [Kubernetes Engine Cluster Viewer](/iam/docs/understanding-roles#container.clusterViewer) (`roles/container.clusterViewer`): View insights for a GKE cluster.\n\nThese permissions provide access to insights, but they don't provide permissions\nto perform other actions such as running builds in Cloud Build.\n\n- For details about required permissions for a specific service, refer to the documentation for that service.\n- To learn about granting permissions, see the Identity and Access Management documentation on [granting permissions to projects](/iam/docs/granting-changing-revoking-access).\n\nBy default, many services have default permissions for other services in the\nsame project but cannot access resources in another project.\nIf you are running services in different Google Cloud projects or\nif you are using custom IAM roles or custom service accounts,\nyou must grant the appropriate permissions yourself.\n\nGranting permissions when services are in the same project\n----------------------------------------------------------\n\nIf Cloud Build, Artifact Registry, Artifact Analysis, and\nCloud Run are all running in the same project, each service uses the\ndefault service account to act on behalf of the service, and the default\npermissions are unchanged. The services can all work together without changes\nto permissions, but you do need to grant permissions to users that need to see\ninsights in the project.\n\nPermissions between services\n\n: No changes are required:\n\n - The default [Cloud Build service\n account](/build/docs/cloud-build-service-account#default_permissions_of_service_account) has permissions to upload and download with Artifact Registry and read insight data from Artifact Analysis, so the service can sign container images with build provenance and push them to Artifact Registry.\n - Cloud Run revisions use the [Compute Engine default\n service\n account](/compute/docs/access/service-accounts#default_service_account) for deployments, which has permissions to download images from Artifact Registry and read insight data from Artifact Analysis.\n\nUser permissions to view insights\n\n: You must grant users of Cloud Build and\n Cloud Run with the [required roles](#permissions-insights)\n to view insights.\n\nGranting permissions when services are in different projects\n------------------------------------------------------------\n\nWhen Artifact Registry and Artifact Analysis are running in\nseparate project from other Google Cloud services, you must explicitly\ngrant permissions for all cross-project activity. Consider the following project\nsetup:\n\n- Cloud Build runs in project A\n- Artifact Registry and Artifact Analysis run in project B\n- Cloud Run runs in project C\n\nPermissions between services\n\n: Cloud Build and Cloud Run cannot access resources in other\n projects without explicitly granting access to the service accounts that act on\n behalf of these services. You must grant appropriate [Artifact Registry\n permissions](/artifact-registry/docs/access-control#permissions) and\n [Artifact Analysis\n permissions](/container-analysis/docs/ca-access-control) in project B where the\n artifacts and artifact metadata are stored.\n\n: For Cloud Build, you must grant these roles in project B:\n\n - Artifact Registry Writer (`roles/artifactregistry.writer`) grants permissions to upload and download.\n - Artifact Analysis Occurrences Viewer (`roles/containeranalysis.occurrences.viewer`) grants permissions to display insights.\n\n: For Cloud Run, you must grant these roles in project B:\n\n - Artifact Registry Reader (`roles/artifactregistry.reader`) grants permissions to download for deployments.\n - Artifact Analysis Occurrences Viewer (`roles/containeranalysis.occurrences.viewer`) grants permissions to display insights.\n\nUser permissions to view insights\n\n: In project B, you must grant users of Cloud Build and\n Cloud Run with the [required roles](#permissions-insights)\n view insights.\n\n What's next\n -----------\n\n- Learn more about how Google Cloud services protect your software supply chain in the [overview](/software-supply-chain-security/docs/overview)\n- Learn about [software supply chain security practices](/software-supply-chain-security/docs/practices) and how Google Cloud services can help you to implement them."]]
