Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questo documento descrive le autorizzazioni IAM necessarie per
visualizzare gli approfondimenti sulla sicurezza della catena di fornitura del software nella console Google Cloud .
Ruoli obbligatori
Per visualizzare gli approfondimenti sulla sicurezza della catena di fornitura del software nella consoleGoogle Cloud , devi disporre dei seguenti ruoli o di un ruolo con autorizzazioni equivalenti:
Visualizzatore Cloud Build
(roles/cloudbuild.builds.viewer): visualizza gli approfondimenti per una build.
Visualizzatore occorrenze Artifact Analysis
(roles/containeranalysis.occurrences.viewer): visualizza le vulnerabilità, la provenienza
della build e altre informazioni sulle dipendenze.
Visualizzatore di Cloud Run (roles/run.viewer): visualizza
gli approfondimenti per una revisione di Cloud Run.
Queste autorizzazioni forniscono l'accesso agli approfondimenti, ma non
consentono di eseguire altre azioni, come l'esecuzione di build in Cloud Build.
Per informazioni dettagliate sulle autorizzazioni necessarie per un servizio specifico, consulta la documentazione relativa a quel servizio.
Per impostazione predefinita, molti servizi dispongono di autorizzazioni predefinite per altri servizi nello stesso progetto, ma non possono accedere alle risorse in un altro progetto.
Se esegui servizi in progetti Google Cloud diversi o
se utilizzi ruoli IAM personalizzati o service account personalizzati,
devi concedere le autorizzazioni appropriate.
Concessione delle autorizzazioni quando i servizi si trovano nello stesso progetto
Se Cloud Build, Artifact Registry, Artifact Analysis e Cloud Run vengono eseguiti nello stesso progetto, ogni servizio utilizza l'account di servizio predefinito per agire per conto del servizio e le autorizzazioni predefinite rimangono invariate. I servizi possono funzionare tutti insieme senza modifiche
alle autorizzazioni, ma devi concedere le autorizzazioni agli utenti che devono visualizzare
gli approfondimenti nel progetto.
Autorizzazioni tra servizi
Non sono necessarie modifiche:
L'account di servizio Cloud Build predefinito dispone delle autorizzazioni per caricare e scaricare con Artifact Registry e leggere i dati di approfondimento da Artifact Analysis, in modo che il servizio possa firmare le immagini container con la provenienza della build ed eseguirne il push in Artifact Registry.
Le revisioni di Cloud Run utilizzano il service account predefinito di Compute Engine per i deployment, che dispone delle autorizzazioni per scaricare immagini da Artifact Registry e leggere i dati degli approfondimenti da Artifact Analysis.
Autorizzazioni utente per visualizzare gli approfondimenti
Devi concedere agli utenti di Cloud Build e
Cloud Run i ruoli richiesti
per visualizzare gli approfondimenti.
Concessione delle autorizzazioni quando i servizi si trovano in progetti diversi
Quando Artifact Registry e Artifact Analysis vengono eseguiti in
un progetto separato dagli altri servizi Google Cloud , devi concedere
esplicitamente le autorizzazioni per tutte le attività tra progetti. Considera la seguente configurazione
del progetto:
Cloud Build viene eseguito nel progetto A
Artifact Registry e Artifact Analysis vengono eseguiti nel progetto B
Cloud Run viene eseguito nel progetto C
Autorizzazioni tra servizi
Cloud Build e Cloud Run non possono accedere alle risorse in altri progetti senza concedere esplicitamente l'accesso ai service account che agiscono per conto di questi servizi. Devi concedere le autorizzazioni
Artifact Registry e le
autorizzazioni
Artifact Analysis nel progetto B in cui sono archiviati gli artefatti e i relativi metadati.
Per Cloud Build, devi concedere questi ruoli nel progetto B:
Artifact Registry Writer (roles/artifactregistry.writer) concede le autorizzazioni
per il caricamento e il download.
Visualizzatore occorrenze analisi artefatti
(roles/containeranalysis.occurrences.viewer) concede le autorizzazioni per
visualizzare gli approfondimenti.
Per Cloud Run, devi concedere questi ruoli nel progetto B:
Artifact Registry Reader (roles/artifactregistry.reader) concede le autorizzazioni
per il download per le implementazioni.
Visualizzatore occorrenze analisi artefatti
(roles/containeranalysis.occurrences.viewer) concede le autorizzazioni per
visualizzare gli approfondimenti.
Autorizzazioni utente per visualizzare gli approfondimenti
Nel progetto B, devi concedere agli utenti di Cloud Build e
Cloud Run i ruoli richiesti
per visualizzare gli approfondimenti.
Passaggi successivi
Scopri di più su come i servizi Google Cloud proteggono la tua catena di fornitura del software nella panoramica.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-09 UTC."],[],[],null,["# Configure access\n\nThis document describes the IAM permissions that are required to\nview software supply chain security insights in Google Cloud console.\n\nRequired roles\n--------------\n\nTo view software supply chain security insights in\nGoogle Cloud console, you must have the following roles, or a role\nwith equivalent permissions:\n\n- [Cloud Build Viewer](/iam/docs/understanding-roles#cloudbuild.builds.viewer) (`roles/cloudbuild.builds.viewer`): View insights for a build.\n- [Artifact Analysis Occurrences Viewer](/iam/docs/understanding-roles#containeranalysis.occurrences.viewer) (`roles/containeranalysis.occurrences.viewer`): View vulnerabilities, build provenance, and other dependency information.\n- [Cloud Run Viewer](/iam/docs/understanding-roles#run.viewer) (`roles/run.viewer`): View insights for a Cloud Run revision.\n- [Kubernetes Engine Cluster Viewer](/iam/docs/understanding-roles#container.clusterViewer) (`roles/container.clusterViewer`): View insights for a GKE cluster.\n\nThese permissions provide access to insights, but they don't provide permissions\nto perform other actions such as running builds in Cloud Build.\n\n- For details about required permissions for a specific service, refer to the documentation for that service.\n- To learn about granting permissions, see the Identity and Access Management documentation on [granting permissions to projects](/iam/docs/granting-changing-revoking-access).\n\nBy default, many services have default permissions for other services in the\nsame project but cannot access resources in another project.\nIf you are running services in different Google Cloud projects or\nif you are using custom IAM roles or custom service accounts,\nyou must grant the appropriate permissions yourself.\n\nGranting permissions when services are in the same project\n----------------------------------------------------------\n\nIf Cloud Build, Artifact Registry, Artifact Analysis, and\nCloud Run are all running in the same project, each service uses the\ndefault service account to act on behalf of the service, and the default\npermissions are unchanged. The services can all work together without changes\nto permissions, but you do need to grant permissions to users that need to see\ninsights in the project.\n\nPermissions between services\n\n: No changes are required:\n\n - The default [Cloud Build service\n account](/build/docs/cloud-build-service-account#default_permissions_of_service_account) has permissions to upload and download with Artifact Registry and read insight data from Artifact Analysis, so the service can sign container images with build provenance and push them to Artifact Registry.\n - Cloud Run revisions use the [Compute Engine default\n service\n account](/compute/docs/access/service-accounts#default_service_account) for deployments, which has permissions to download images from Artifact Registry and read insight data from Artifact Analysis.\n\nUser permissions to view insights\n\n: You must grant users of Cloud Build and\n Cloud Run with the [required roles](#permissions-insights)\n to view insights.\n\nGranting permissions when services are in different projects\n------------------------------------------------------------\n\nWhen Artifact Registry and Artifact Analysis are running in\nseparate project from other Google Cloud services, you must explicitly\ngrant permissions for all cross-project activity. Consider the following project\nsetup:\n\n- Cloud Build runs in project A\n- Artifact Registry and Artifact Analysis run in project B\n- Cloud Run runs in project C\n\nPermissions between services\n\n: Cloud Build and Cloud Run cannot access resources in other\n projects without explicitly granting access to the service accounts that act on\n behalf of these services. You must grant appropriate [Artifact Registry\n permissions](/artifact-registry/docs/access-control#permissions) and\n [Artifact Analysis\n permissions](/container-analysis/docs/ca-access-control) in project B where the\n artifacts and artifact metadata are stored.\n\n: For Cloud Build, you must grant these roles in project B:\n\n - Artifact Registry Writer (`roles/artifactregistry.writer`) grants permissions to upload and download.\n - Artifact Analysis Occurrences Viewer (`roles/containeranalysis.occurrences.viewer`) grants permissions to display insights.\n\n: For Cloud Run, you must grant these roles in project B:\n\n - Artifact Registry Reader (`roles/artifactregistry.reader`) grants permissions to download for deployments.\n - Artifact Analysis Occurrences Viewer (`roles/containeranalysis.occurrences.viewer`) grants permissions to display insights.\n\nUser permissions to view insights\n\n: In project B, you must grant users of Cloud Build and\n Cloud Run with the [required roles](#permissions-insights)\n view insights.\n\n What's next\n -----------\n\n- Learn more about how Google Cloud services protect your software supply chain in the [overview](/software-supply-chain-security/docs/overview)\n- Learn about [software supply chain security practices](/software-supply-chain-security/docs/practices) and how Google Cloud services can help you to implement them."]]
