Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Ce document décrit les autorisations IAM requises pour afficher des insights sur la sécurité de la chaîne d'approvisionnement logicielle dans la console Google Cloud .
Rôles requis
Pour afficher les insights sur la sécurité de la chaîne d'approvisionnement logicielle dans la consoleGoogle Cloud , vous devez disposer des rôles suivants ou d'un rôle avec des autorisations équivalentes :
Lecteur Cloud Build (roles/cloudbuild.builds.viewer) : affichez les insights pour un build.
Lecteur d'occurrences Artifact Analysis (roles/containeranalysis.occurrences.viewer) : affichez les failles, la provenance de la compilation et d'autres informations sur les dépendances.
Lecteur Cloud Run (roles/run.viewer) : affichez les insights pour une révision Cloud Run.
Par défaut, de nombreux services disposent d'autorisations par défaut pour d'autres services du même projet, mais ne peuvent pas accéder aux ressources d'un autre projet.
Si vous exécutez des services dans différents projets Google Cloud ou si vous utilisez des rôles IAM ou des comptes de service personnalisés, vous devez accorder vous-même les autorisations appropriées.
Accorder des autorisations lorsque les services se trouvent dans le même projet
Si Cloud Build, Artifact Registry, Artifact Analysis et Cloud Run s'exécutent tous dans le même projet, chaque service utilise le compte de service par défaut pour agir au nom du service, et les autorisations par défaut restent inchangées. Les services peuvent tous fonctionner ensemble sans modification des autorisations, mais vous devez accorder des autorisations aux utilisateurs qui ont besoin de voir des insights dans le projet.
Autorisations entre les services
Aucune modification n'est requise :
Le compte de service Cloud Build par défaut est autorisé à importer et télécharger des données avec Artifact Registry, et à lire les données d'insights d'Artifact Analysis. Il peut donc signer des images de conteneur avec la provenance de compilation et les transférer vers Artifact Registry.
Les révisions Cloud Run utilisent le compte de service Compute Engine par défaut pour les déploiements. Ce compte dispose des autorisations nécessaires pour télécharger des images depuis Artifact Registry et lire les données d'insights depuis Artifact Analysis.
Autorisations utilisateur pour afficher les insights
Vous devez accorder aux utilisateurs de Cloud Build et Cloud Run les rôles requis pour qu'ils puissent afficher les insights.
Accorder des autorisations lorsque les services se trouvent dans des projets différents
Lorsque Artifact Registry et Artifact Analysis s'exécutent dans un projet distinct des autres services Google Cloud , vous devez accorder explicitement les autorisations pour toute activité inter-projets. Prenons l'exemple de configuration de projet suivant :
Cloud Build s'exécute dans le projet A
Artifact Registry et Artifact Analysis s'exécutent dans le projet B
Cloud Run s'exécute dans le projet C
Autorisations entre les services
Cloud Build et Cloud Run ne peuvent pas accéder aux ressources d'autres projets sans avoir explicitement accordé l'accès aux comptes de service qui agissent au nom de ces services. Vous devez accorder les autorisations Artifact Registry et Artifact Analysis appropriées dans le projet B où sont stockés les artefacts et les métadonnées d'artefacts.
Pour Cloud Build, vous devez attribuer ces rôles dans le projet B :
Le rôle Rédacteur Artifact Registry (roles/artifactregistry.writer) accorde les autorisations d'importation et de téléchargement.
Le rôle Lecteur d'occurrences Artifact Analysis (roles/containeranalysis.occurrences.viewer) accorde les autorisations nécessaires pour afficher les insights.
Pour Cloud Run, vous devez accorder les rôles suivants dans le projet B :
Le rôle Lecteur Artifact Registry (roles/artifactregistry.reader) accorde les autorisations de téléchargement pour les déploiements.
Le rôle Lecteur d'occurrences Artifact Analysis (roles/containeranalysis.occurrences.viewer) accorde les autorisations nécessaires pour afficher les insights.
Autorisations utilisateur pour afficher les insights
Dans le projet B, vous devez accorder aux utilisateurs de Cloud Build et Cloud Run les rôles requis pour afficher les insights.
Étapes suivantes
Découvrez comment les services Google Cloud protègent votre chaîne d'approvisionnement logicielle dans la présentation.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[],[],null,["# Configure access\n\nThis document describes the IAM permissions that are required to\nview software supply chain security insights in Google Cloud console.\n\nRequired roles\n--------------\n\nTo view software supply chain security insights in\nGoogle Cloud console, you must have the following roles, or a role\nwith equivalent permissions:\n\n- [Cloud Build Viewer](/iam/docs/understanding-roles#cloudbuild.builds.viewer) (`roles/cloudbuild.builds.viewer`): View insights for a build.\n- [Artifact Analysis Occurrences Viewer](/iam/docs/understanding-roles#containeranalysis.occurrences.viewer) (`roles/containeranalysis.occurrences.viewer`): View vulnerabilities, build provenance, and other dependency information.\n- [Cloud Run Viewer](/iam/docs/understanding-roles#run.viewer) (`roles/run.viewer`): View insights for a Cloud Run revision.\n- [Kubernetes Engine Cluster Viewer](/iam/docs/understanding-roles#container.clusterViewer) (`roles/container.clusterViewer`): View insights for a GKE cluster.\n\nThese permissions provide access to insights, but they don't provide permissions\nto perform other actions such as running builds in Cloud Build.\n\n- For details about required permissions for a specific service, refer to the documentation for that service.\n- To learn about granting permissions, see the Identity and Access Management documentation on [granting permissions to projects](/iam/docs/granting-changing-revoking-access).\n\nBy default, many services have default permissions for other services in the\nsame project but cannot access resources in another project.\nIf you are running services in different Google Cloud projects or\nif you are using custom IAM roles or custom service accounts,\nyou must grant the appropriate permissions yourself.\n\nGranting permissions when services are in the same project\n----------------------------------------------------------\n\nIf Cloud Build, Artifact Registry, Artifact Analysis, and\nCloud Run are all running in the same project, each service uses the\ndefault service account to act on behalf of the service, and the default\npermissions are unchanged. The services can all work together without changes\nto permissions, but you do need to grant permissions to users that need to see\ninsights in the project.\n\nPermissions between services\n\n: No changes are required:\n\n - The default [Cloud Build service\n account](/build/docs/cloud-build-service-account#default_permissions_of_service_account) has permissions to upload and download with Artifact Registry and read insight data from Artifact Analysis, so the service can sign container images with build provenance and push them to Artifact Registry.\n - Cloud Run revisions use the [Compute Engine default\n service\n account](/compute/docs/access/service-accounts#default_service_account) for deployments, which has permissions to download images from Artifact Registry and read insight data from Artifact Analysis.\n\nUser permissions to view insights\n\n: You must grant users of Cloud Build and\n Cloud Run with the [required roles](#permissions-insights)\n to view insights.\n\nGranting permissions when services are in different projects\n------------------------------------------------------------\n\nWhen Artifact Registry and Artifact Analysis are running in\nseparate project from other Google Cloud services, you must explicitly\ngrant permissions for all cross-project activity. Consider the following project\nsetup:\n\n- Cloud Build runs in project A\n- Artifact Registry and Artifact Analysis run in project B\n- Cloud Run runs in project C\n\nPermissions between services\n\n: Cloud Build and Cloud Run cannot access resources in other\n projects without explicitly granting access to the service accounts that act on\n behalf of these services. You must grant appropriate [Artifact Registry\n permissions](/artifact-registry/docs/access-control#permissions) and\n [Artifact Analysis\n permissions](/container-analysis/docs/ca-access-control) in project B where the\n artifacts and artifact metadata are stored.\n\n: For Cloud Build, you must grant these roles in project B:\n\n - Artifact Registry Writer (`roles/artifactregistry.writer`) grants permissions to upload and download.\n - Artifact Analysis Occurrences Viewer (`roles/containeranalysis.occurrences.viewer`) grants permissions to display insights.\n\n: For Cloud Run, you must grant these roles in project B:\n\n - Artifact Registry Reader (`roles/artifactregistry.reader`) grants permissions to download for deployments.\n - Artifact Analysis Occurrences Viewer (`roles/containeranalysis.occurrences.viewer`) grants permissions to display insights.\n\nUser permissions to view insights\n\n: In project B, you must grant users of Cloud Build and\n Cloud Run with the [required roles](#permissions-insights)\n view insights.\n\n What's next\n -----------\n\n- Learn more about how Google Cloud services protect your software supply chain in the [overview](/software-supply-chain-security/docs/overview)\n- Learn about [software supply chain security practices](/software-supply-chain-security/docs/practices) and how Google Cloud services can help you to implement them."]]
