Dokumen ini menjelaskan izin IAM yang diperlukan untuk melihat insight keamanan Perlindungan Pengiriman Software. Software Delivery Shield adalah solusi keamanan supply chain software yang terkelola sepenuhnya di Google Cloud.
Peran yang diperlukan
Untuk melihat insight Perlindungan Pengiriman Software di Google Cloud Console, Anda harus memiliki peran berikut, atau peran dengan izin yang setara:
- Viewer Cloud Build
(
roles/cloudbuild.builds.viewer
): Melihat insight untuk build. - Artifact Analysis Occurrences Viewer
(
roles/containeranalysis.occurrences.viewer
): Melihat kerentanan, asal build, dan informasi dependensi lainnya. - Viewer Cloud Run (
roles/run.viewer
): Melihat insight untuk revisi Cloud Run. - Viewer Cluster Kubernetes Engine (
roles/container.clusterViewer
): Melihat analisis untuk cluster GKE.
Izin ini memberikan akses ke insight, tetapi tidak memberikan izin untuk melakukan tindakan lain seperti menjalankan build di Cloud Build.
- Untuk mengetahui detail tentang izin yang diperlukan untuk layanan tertentu, lihat dokumentasi untuk layanan tersebut.
- Untuk mempelajari tentang cara memberikan izin, baca dokumentasi Identity and Access Management tentang memberikan izin ke project.
Secara default, banyak layanan memiliki izin default untuk layanan lain dalam project yang sama, tetapi tidak dapat mengakses resource dalam project lain. Jika Anda menjalankan layanan di berbagai project Google Cloud atau menggunakan peran IAM khusus atau akun layanan khusus, Anda harus memberikan sendiri izin yang sesuai.
Memberikan izin saat layanan berada dalam project yang sama
Jika Cloud Build, Artifact Registry, Artifact Analysis, dan Cloud Run semuanya berjalan di project yang sama, setiap layanan akan menggunakan akun layanan default untuk bertindak atas nama layanan, dan izin default tidak berubah. Semua layanan dapat bekerja sama tanpa mengubah izin, tetapi Anda harus memberikan izin kepada pengguna yang perlu melihat insight dalam project.
- Izin antarlayanan
Perubahan tidak diperlukan:
- Akun layanan Cloud Build default memiliki izin untuk mengupload dan mendownload dengan Artifact Registry serta membaca data insight dari Artifact Analysis, sehingga layanan dapat menandatangani image container dengan provenance build dan memasukkannya ke Artifact Registry.
- Revisi Cloud Run menggunakan akun layanan default Compute Engine untuk deployment, yang memiliki izin untuk mendownload image dari Artifact Registry dan membaca data insight dari Artifact Analysis.
- Izin pengguna untuk melihat insight
Anda harus memberi pengguna Cloud Build dan Cloud Run peran yang diperlukan untuk melihat insight.
Memberikan izin saat layanan berada dalam project yang berbeda
Saat Artifact Registry dan Artifact Analysis berjalan di project terpisah dari layanan Google Cloud lainnya, Anda harus secara eksplisit memberikan izin untuk semua aktivitas lintas project. Pertimbangkan penyiapan project berikut:
- Cloud Build berjalan di project A
- Artifact Registry dan Artifact Analysis berjalan di project B
- Cloud Run berjalan di project C
- Izin antarlayanan
Cloud Build dan Cloud Run tidak dapat mengakses resource di project lain tanpa memberikan akses secara eksplisit ke akun layanan yang bertindak atas nama layanan tersebut. Anda harus memberikan izin Artifact Registry dan izin Analisis Artefak yang sesuai di project B tempat artefak dan metadata artefak disimpan.
Untuk Cloud Build, Anda harus memberikan peran berikut di project B:
- Artifact Registry Writer (
roles/artifactregistry.writer
) memberikan izin untuk mengupload dan mendownload. - Artifact Analysis Occurrences Viewer (
roles/containeranalysis.occurrences.viewer
) memberikan izin untuk menampilkan insight.
- Artifact Registry Writer (
Untuk Cloud Run, Anda harus memberikan peran berikut di project B:
- Artifact Registry Reader (
roles/artifactregistry.reader
) memberikan izin download untuk deployment. - Artifact Analysis Occurrences Viewer (
roles/containeranalysis.occurrences.viewer
) memberikan izin untuk menampilkan insight.
- Artifact Registry Reader (
- Izin pengguna untuk melihat insight
Dalam project B, Anda harus memberi pengguna Cloud Build dan Cloud Run dengan insight tampilan peran yang diperlukan.
Langkah selanjutnya
- Pelajari lebih lanjut layanan Perlindungan Pengiriman Software di ringkasan
- Pelajari praktik keamanan supply chain software dan bagaimana Perlindungan Pengiriman Software dapat membantu Anda menerapkannya.