액세스 구성

이 문서에서는 Google Cloud 콘솔에서 소프트웨어 공급망 보안 통계를 보는 데 필요한 IAM 권한을 설명합니다.

필요한 역할

Google Cloud 콘솔에서 소프트웨어 공급망 보안 통계를 보려면 다음 역할 또는 이에 상응하는 권한이 있는 역할이 있어야 합니다.

• Cloud Build 뷰어(roles/cloudbuild.builds.viewer): 빌드 통계를 봅니다.
• Artifact Analysis 어커런스 뷰어(roles/containeranalysis.occurrences.viewer): 취약점을 보고 빌드 출처 및 기타 종속 항목을 확인합니다.
• Cloud Run 뷰어(roles/run.viewer): Cloud Run 버전에 대한 통계를 봅니다.
• Kubernetes Engine 클러스터 뷰어(roles/container.clusterViewer): GKE 클러스터의 통계를 봅니다.

이러한 권한은 통계에 대한 액세스를 제공하지만 Cloud Build에서 빌드를 실행하는 등의 다른 작업을 실행할 권한은 제공하지 않습니다.

• 특정 서비스에 필요한 권한에 대한 자세한 내용은 해당 서비스의 문서를 참고하세요.
• 권한 부여에 대한 자세한 내용은 프로젝트에 권한 부여에 대한 Identity and Access Management 문서를 참조하세요.

기본적으로 많은 서비스에는 동일한 프로젝트의 다른 서비스에 대한 기본 권한이 있지만 다른 프로젝트의 리소스에는 액세스할 수 없습니다. 다른 Google Cloud 프로젝트에서 서비스를 실행하거나 맞춤 IAM 역할 또는 맞춤 서비스 계정을 사용하는 경우 적절한 권한을 직접 부여해야 합니다.

서비스가 동일한 프로젝트에 있는 경우 권한 부여

Cloud Build, Artifact Registry, Artifact Analysis, Cloud Run이 모두 동일한 프로젝트에서 실행되는 경우 각 서비스가 기본 서비스 계정을 사용하여 서비스를 대신하여 작동하며 기본 권한은 변경되지 않습니다. 권한을 변경하지 않아도 서비스가 모두 함께 작동할 수 있지만 프로젝트에서 통계를 확인해야 하는 사용자에게는 권한을 부여해야 합니다.

서비스 간 권한

변경하지 않아도 됩니다.

• 기본 Cloud Build 서비스 계정에는 Artifact Registry로 업로드 및 다운로드하고 Artifact Analysis에서 통계 데이터를 읽을 수 있는 권한이 있으므로, 서비스가 빌드 출처로 컨테이너 이미지에 서명하고 Artifact Registry로 내보낼 수 있습니다.
• Cloud Run 버전은 배포에 Compute Engine 기본 서비스 계정을 사용합니다. 이 계정에는 Artifact Registry에서 이미지를 다운로드하고 Artifact Analysis에서 통계 데이터를 읽을 수 있는 권한이 있습니다.

통계를 볼 수 있는 사용자 권한

Cloud Build 및 Cloud Run 사용자에게 통계를 볼 수 있는 필수 역할을 부여해야 합니다.

서비스가 서로 다른 프로젝트에 있는 경우 권한 부여

Artifact Registry 및 Artifact Analysis가 다른 Google Cloud 서비스와 별도의 프로젝트에서 실행되는 경우 모든 프로젝트 간 활동에 대한 권한을 명시적으로 부여해야 합니다. 다음 프로젝트 설정을 고려하세요.

• Cloud Build가 프로젝트 A에서 실행됨
• Artifact Registry 및 Artifact Analysis가 프로젝트 B에서 실행됨
• Cloud Run이 프로젝트 C에서 실행됨

서비스 간 권한

Cloud Build 및 Cloud Run은 이러한 서비스를 대신하여 작동하는 서비스 계정에 액세스 권한을 명시적으로 부여하지 않으면 다른 프로젝트의 리소스에 액세스할 수 없습니다. 아티팩트와 아티팩트 메타데이터가 저장된 프로젝트 B에 적절한 Artifact Registry 권한과 Artifact Analysis 권한을 부여해야 합니다.

Cloud Build의 경우 프로젝트 B에서 다음 역할을 부여해야 합니다.

• Artifact Registry 작성자(roles/artifactregistry.writer)는 업로드 및 다운로드 권한을 부여합니다.
• Artifact Analysis 어커런스 뷰어(roles/containeranalysis.occurrences.viewer)는 통계를 표시할 수 있는 권한을 부여합니다.

Cloud Run의 경우 프로젝트 B에서 다음 역할을 부여해야 합니다.

• Artifact Registry 리더(roles/artifactregistry.reader)는 배포를 위해 다운로드할 수 있는 권한을 부여합니다.
• Artifact Analysis 어커런스 뷰어(roles/containeranalysis.occurrences.viewer)는 통계를 표시할 수 있는 권한을 부여합니다.

통계를 볼 수 있는 사용자 권한

프로젝트 B에서는 Cloud Build와 Cloud Run 사용자에게 통계를 볼 수 있는 필수 역할을 부여해야 합니다.

다음 단계

• 개요에서 Google Cloud 서비스가 소프트웨어 공급망을 보호하는 방법 자세히 알아보기
• 소프트웨어 공급망 보안 권장사항 및 Google Cloud 서비스를 통해 이를 시행하는 방법 알아보기