Questo documento descrive le autorizzazioni IAM necessarie per visualizzare gli approfondimenti sulla sicurezza della catena di approvvigionamento del software nella console Google Cloud.
Ruoli obbligatori
Per visualizzare gli approfondimenti sulla sicurezza della catena di approvvigionamento del software nella console Google Cloud, devi disporre dei seguenti ruoli o di un ruolo con autorizzazioni equivalenti:
- Visualizzatore Cloud Build
(
roles/cloudbuild.builds.viewer): visualizza gli approfondimenti per una build. - Visualizzatore delle occorrenze di Artifact Analysis
(
roles/containeranalysis.occurrences.viewer): visualizza le vulnerabilità, la provenienza della compilazione e altre informazioni sulle dipendenze. - Visualizzatore di Cloud Run (
roles/run.viewer): visualizza gli approfondimenti per una revisione Cloud Run. - Kubernetes Engine Cluster Viewer (
roles/container.clusterViewer): visualizza gli approfondimenti per un cluster GKE.
Queste autorizzazioni forniscono l'accesso alle informazioni, ma non consentono di eseguire altre azioni, come l'esecuzione di build in Cloud Build.
- Per informazioni dettagliate sulle autorizzazioni necessarie per un servizio specifico, consulta la documentazione relativa al servizio.
- Per informazioni sulla concessione delle autorizzazioni, consulta la documentazione di Identity and Access Management sulla concessione delle autorizzazioni ai progetti.
Per impostazione predefinita, molti servizi dispongono di autorizzazioni predefinite per altri servizi nello stesso progetto, ma non possono accedere alle risorse di un altro progetto. Se esegui servizi in progetti Google Cloud diversi o se utilizzi ruoli IAM o account di servizio personalizzati, devi concedere autonomamente le autorizzazioni appropriate.
Concedere autorizzazioni quando i servizi si trovano nello stesso progetto
Se Cloud Build, Artifact Registry, Artifact Analysis e Cloud Run vengono eseguiti nello stesso progetto, ogni servizio utilizza l'account di servizio predefinito per agire per conto del servizio e le autorizzazioni predefinite rimangono invariate. I servizi possono funzionare tutti insieme senza modifiche alle autorizzazioni, ma devi concedere le autorizzazioni agli utenti che devono visualizzare gli approfondimenti nel progetto.
- Autorizzazioni tra servizi
Non sono necessarie modifiche:
- L'account di servizio Cloud Build predefinito ha le autorizzazioni per caricare e scaricare con Artifact Registry e leggere i dati di analisi da Artifact Analysis, in modo che il servizio possa firmare le immagini container con l'origine della build ed eseguire il push in Artifact Registry.
- Le revisioni di Cloud Run utilizzano l'account di servizio predefinito di Compute Engine per i deployment, che dispone delle autorizzazioni per scaricare le immagini da Artifact Registry e leggere i dati di Artifact Analysis.
- Autorizzazioni utente per visualizzare gli approfondimenti
Per visualizzare gli approfondimenti, devi concedere agli utenti di Cloud Build e Cloud Run i ruoli richiesti.
Concedere autorizzazioni quando i servizi si trovano in progetti diversi
Quando Artifact Registry e Artifact Analysis vengono eseguiti in un progetto distinto da altri servizi Google Cloud, devi concedere esplicitamente le autorizzazioni per tutte le attività tra progetti. Considera la seguente configurazione del progetto:
- Cloud Build viene eseguito nel progetto A
- Artifact Registry e Artifact Analysis vengono eseguiti nel progetto B
- Cloud Run viene eseguito nel progetto C
- Autorizzazioni tra servizi
Cloud Build e Cloud Run non possono accedere alle risorse di altri progetti senza concedere esplicitamente l'accesso agli account di servizio che agiscono per conto di questi servizi. Devi concedere le autorizzazioni Artifact Registry e le autorizzazioni di Analisi degli elementi appropriate nel progetto B in cui sono archiviati gli elementi e i metadati degli elementi.
Per Cloud Build, devi concedere questi ruoli nel progetto B:
- Artifact Registry Writer (
roles/artifactregistry.writer) concede le autorizzazioni per il caricamento e il download. - Il visualizzatore delle occorrenze di analisi degli elementi
(
roles/containeranalysis.occurrences.viewer) concede le autorizzazioni per visualizzare gli approfondimenti.
- Artifact Registry Writer (
Per Cloud Run, devi concedere questi ruoli nel progetto B:
- Artifact Registry Reader (
roles/artifactregistry.reader) concede le autorizzazioni per il download per i deployment. - Il visualizzatore delle occorrenze di analisi degli elementi
(
roles/containeranalysis.occurrences.viewer) concede le autorizzazioni per visualizzare gli approfondimenti.
- Artifact Registry Reader (
- Autorizzazioni utente per visualizzare gli approfondimenti
Nel progetto B, devi concedere agli utenti di Cloud Build e Cloud Run con i ruoli richiesti la visualizzazione degli approfondimenti.
Passaggi successivi
- Scopri di più su come i servizi Google Cloud proteggono la tua catena di fornitura del software nella panoramica
- Scopri le best practice per la sicurezza della catena di fornitura del software e su come i servizi Google Cloud possono aiutarti a implementarle.