Configure access

Ce document décrit les autorisations IAM requises pour afficher des insights sur la sécurité de la chaîne d'approvisionnement logicielle dans la console Google Cloud .

Rôles requis

Pour afficher les insights sur la sécurité de la chaîne d'approvisionnement logicielle dans la consoleGoogle Cloud , vous devez disposer des rôles suivants ou d'un rôle avec des autorisations équivalentes :

Ces autorisations permettent d'accéder aux insights, mais pas d'effectuer d'autres actions, comme exécuter des compilations dans Cloud Build.

  • Pour en savoir plus sur les autorisations requises pour un service spécifique, consultez la documentation associée à ce service.
  • Pour savoir comment accorder des autorisations, consultez la documentation Identity and Access Management sur l'attribution d'autorisations aux projets.

Par défaut, de nombreux services disposent d'autorisations par défaut pour d'autres services du même projet, mais ne peuvent pas accéder aux ressources d'un autre projet. Si vous exécutez des services dans différents projets Google Cloud ou si vous utilisez des rôles IAM ou des comptes de service personnalisés, vous devez accorder vous-même les autorisations appropriées.

Accorder des autorisations lorsque les services se trouvent dans le même projet

Si Cloud Build, Artifact Registry, Artifact Analysis et Cloud Run s'exécutent tous dans le même projet, chaque service utilise le compte de service par défaut pour agir au nom du service, et les autorisations par défaut restent inchangées. Les services peuvent tous fonctionner ensemble sans modification des autorisations, mais vous devez accorder des autorisations aux utilisateurs qui ont besoin de voir des insights dans le projet.

Autorisations entre les services

Aucune modification n'est requise :

  • Le compte de service Cloud Build par défaut est autorisé à importer et télécharger des données avec Artifact Registry, et à lire les données d'insights d'Artifact Analysis. Il peut donc signer des images de conteneur avec la provenance de compilation et les transférer vers Artifact Registry.
  • Les révisions Cloud Run utilisent le compte de service Compute Engine par défaut pour les déploiements. Ce compte dispose des autorisations nécessaires pour télécharger des images depuis Artifact Registry et lire les données d'insights depuis Artifact Analysis.
Autorisations utilisateur pour afficher les insights

Vous devez accorder aux utilisateurs de Cloud Build et Cloud Run les rôles requis pour qu'ils puissent afficher les insights.

Accorder des autorisations lorsque les services se trouvent dans des projets différents

Lorsque Artifact Registry et Artifact Analysis s'exécutent dans un projet distinct des autres services Google Cloud , vous devez accorder explicitement les autorisations pour toute activité inter-projets. Prenons l'exemple de configuration de projet suivant :

  • Cloud Build s'exécute dans le projet A
  • Artifact Registry et Artifact Analysis s'exécutent dans le projet B
  • Cloud Run s'exécute dans le projet C
Autorisations entre les services

Cloud Build et Cloud Run ne peuvent pas accéder aux ressources d'autres projets sans avoir explicitement accordé l'accès aux comptes de service qui agissent au nom de ces services. Vous devez accorder les autorisations Artifact Registry et Artifact Analysis appropriées dans le projet B où sont stockés les artefacts et les métadonnées d'artefacts.

Pour Cloud Build, vous devez attribuer ces rôles dans le projet B :

  • Le rôle Rédacteur Artifact Registry (roles/artifactregistry.writer) accorde les autorisations d'importation et de téléchargement.
  • Le rôle Lecteur d'occurrences Artifact Analysis (roles/containeranalysis.occurrences.viewer) accorde les autorisations nécessaires pour afficher les insights.

Pour Cloud Run, vous devez accorder les rôles suivants dans le projet B :

  • Le rôle Lecteur Artifact Registry (roles/artifactregistry.reader) accorde les autorisations de téléchargement pour les déploiements.
  • Le rôle Lecteur d'occurrences Artifact Analysis (roles/containeranalysis.occurrences.viewer) accorde les autorisations nécessaires pour afficher les insights.
Autorisations utilisateur pour afficher les insights

Dans le projet B, vous devez accorder aux utilisateurs de Cloud Build et Cloud Run les rôles requis pour afficher les insights.

Étapes suivantes