Mengonfigurasi akses

Dokumen ini menjelaskan izin IAM yang diperlukan untuk melihat insight keamanan rantai pasokan software di konsol Google Cloud .

Peran yang diperlukan

Untuk melihat insight keamanan supply chain software di konsolGoogle Cloud , Anda harus memiliki peran berikut, atau peran dengan izin yang setara:

Izin ini memberikan akses ke insight, tetapi tidak memberikan izin untuk melakukan tindakan lain seperti menjalankan build di Cloud Build.

  • Untuk mengetahui detail tentang izin yang diperlukan untuk layanan tertentu, lihat dokumentasi untuk layanan tersebut.
  • Untuk mempelajari cara memberikan izin, lihat dokumentasi Identity and Access Management tentang memberikan izin ke project.

Secara default, banyak layanan memiliki izin default untuk layanan lain dalam project yang sama, tetapi tidak dapat mengakses resource dalam project lain. Jika Anda menjalankan layanan di project yang berbeda Google Cloud atau jika Anda menggunakan peran IAM kustom atau akun layanan kustom, Anda harus memberikan izin yang sesuai sendiri.

Memberikan izin saat layanan berada dalam project yang sama

Jika Cloud Build, Artifact Registry, Artifact Analysis, dan Cloud Run semuanya berjalan di project yang sama, setiap layanan menggunakan akun layanan default untuk bertindak atas nama layanan, dan izin default tidak berubah. Semua layanan dapat bekerja sama tanpa perubahan pada izin, tetapi Anda perlu memberikan izin kepada pengguna yang perlu melihat insight dalam project.

Izin antar-layanan

Tidak ada perubahan yang diperlukan:

  • Akun layanan Cloud Build default memiliki izin untuk mengupload dan mendownload dengan Artifact Registry serta membaca data insight dari Artifact Analysis, sehingga layanan dapat menandatangani image container dengan asal-usul build dan mengirimkannya ke Artifact Registry.
  • Revisi Cloud Run menggunakan akun layanan default Compute Engine untuk deployment, yang memiliki izin untuk mendownload image dari Artifact Registry dan membaca data insight dari Artifact Analysis.
Izin pengguna untuk melihat insight

Anda harus memberikan peran yang diperlukan kepada pengguna Cloud Build dan Cloud Run agar dapat melihat insight.

Memberikan izin saat layanan berada di project yang berbeda

Jika Artifact Registry dan Artifact Analysis berjalan di project terpisah dari layanan Google Cloud lainnya, Anda harus memberikan izin secara eksplisit untuk semua aktivitas lintas project. Pertimbangkan penyiapan project berikut:

  • Cloud Build berjalan di project A
  • Artifact Registry dan Artifact Analysis berjalan di project B
  • Cloud Run berjalan di project C
Izin antar-layanan

Cloud Build dan Cloud Run tidak dapat mengakses resource di project lain tanpa memberikan akses secara eksplisit ke akun layanan yang bertindak atas nama layanan ini. Anda harus memberikan izin Artifact Registry dan izin Artifact Analysis yang sesuai di project B tempat artefak dan metadata artefak disimpan.

Untuk Cloud Build, Anda harus memberikan peran ini di project B:

  • Penulis Artifact Registry (roles/artifactregistry.writer) memberikan izin untuk mengupload dan mendownload.
  • Artifact Analysis Occurrences Viewer (roles/containeranalysis.occurrences.viewer) memberikan izin untuk menampilkan insight.

Untuk Cloud Run, Anda harus memberikan peran ini di project B:

  • Pembaca Artifact Registry (roles/artifactregistry.reader) memberikan izin untuk mendownload deployment.
  • Artifact Analysis Occurrences Viewer (roles/containeranalysis.occurrences.viewer) memberikan izin untuk menampilkan insight.
Izin pengguna untuk melihat insight

Di project B, Anda harus memberikan peran yang diperlukan kepada pengguna Cloud Build dan Cloud Run agar dapat melihat insight.

Langkah berikutnya