Configura l'accesso

Questo documento descrive le autorizzazioni IAM necessarie per visualizzare gli approfondimenti sulla sicurezza della catena di fornitura del software nella console Google Cloud .

Ruoli obbligatori

Per visualizzare gli approfondimenti sulla sicurezza della catena di fornitura del software nella consoleGoogle Cloud , devi disporre dei seguenti ruoli o di un ruolo con autorizzazioni equivalenti:

Queste autorizzazioni forniscono l'accesso agli approfondimenti, ma non consentono di eseguire altre azioni, come l'esecuzione di build in Cloud Build.

  • Per informazioni dettagliate sulle autorizzazioni necessarie per un servizio specifico, consulta la documentazione relativa a quel servizio.
  • Per scoprire di più sulla concessione delle autorizzazioni, consulta la documentazione di Identity and Access Management sulla concessione delle autorizzazioni ai progetti.

Per impostazione predefinita, molti servizi dispongono di autorizzazioni predefinite per altri servizi nello stesso progetto, ma non possono accedere alle risorse in un altro progetto. Se esegui servizi in progetti Google Cloud diversi o se utilizzi ruoli IAM personalizzati o service account personalizzati, devi concedere le autorizzazioni appropriate.

Concessione delle autorizzazioni quando i servizi si trovano nello stesso progetto

Se Cloud Build, Artifact Registry, Artifact Analysis e Cloud Run vengono eseguiti nello stesso progetto, ogni servizio utilizza l'account di servizio predefinito per agire per conto del servizio e le autorizzazioni predefinite rimangono invariate. I servizi possono funzionare tutti insieme senza modifiche alle autorizzazioni, ma devi concedere le autorizzazioni agli utenti che devono visualizzare gli approfondimenti nel progetto.

Autorizzazioni tra servizi

Non sono necessarie modifiche:

  • L'account di servizio Cloud Build predefinito dispone delle autorizzazioni per caricare e scaricare con Artifact Registry e leggere i dati di approfondimento da Artifact Analysis, in modo che il servizio possa firmare le immagini container con la provenienza della build ed eseguirne il push in Artifact Registry.
  • Le revisioni di Cloud Run utilizzano il service account predefinito di Compute Engine per i deployment, che dispone delle autorizzazioni per scaricare immagini da Artifact Registry e leggere i dati degli approfondimenti da Artifact Analysis.
Autorizzazioni utente per visualizzare gli approfondimenti

Devi concedere agli utenti di Cloud Build e Cloud Run i ruoli richiesti per visualizzare gli approfondimenti.

Concessione delle autorizzazioni quando i servizi si trovano in progetti diversi

Quando Artifact Registry e Artifact Analysis vengono eseguiti in un progetto separato dagli altri servizi Google Cloud , devi concedere esplicitamente le autorizzazioni per tutte le attività tra progetti. Considera la seguente configurazione del progetto:

  • Cloud Build viene eseguito nel progetto A
  • Artifact Registry e Artifact Analysis vengono eseguiti nel progetto B
  • Cloud Run viene eseguito nel progetto C
Autorizzazioni tra servizi

Cloud Build e Cloud Run non possono accedere alle risorse in altri progetti senza concedere esplicitamente l'accesso ai service account che agiscono per conto di questi servizi. Devi concedere le autorizzazioni Artifact Registry e le autorizzazioni Artifact Analysis nel progetto B in cui sono archiviati gli artefatti e i relativi metadati.

Per Cloud Build, devi concedere questi ruoli nel progetto B:

  • Artifact Registry Writer (roles/artifactregistry.writer) concede le autorizzazioni per il caricamento e il download.
  • Visualizzatore occorrenze analisi artefatti (roles/containeranalysis.occurrences.viewer) concede le autorizzazioni per visualizzare gli approfondimenti.

Per Cloud Run, devi concedere questi ruoli nel progetto B:

  • Artifact Registry Reader (roles/artifactregistry.reader) concede le autorizzazioni per il download per le implementazioni.
  • Visualizzatore occorrenze analisi artefatti (roles/containeranalysis.occurrences.viewer) concede le autorizzazioni per visualizzare gli approfondimenti.
Autorizzazioni utente per visualizzare gli approfondimenti

Nel progetto B, devi concedere agli utenti di Cloud Build e Cloud Run i ruoli richiesti per visualizzare gli approfondimenti.

Passaggi successivi