Configurar acesso

Este documento descreve as permissões do IAM necessárias para visualizar insights de segurança da cadeia de suprimentos de software no console do Google Cloud.

Funções exigidas

Para acessar os insights de segurança da cadeia de suprimentos de software no console do Google Cloud, você precisa ter as funções a seguir ou uma função com permissões equivalentes:

Essas permissões fornecem acesso a insights, mas não permitem realizar outras ações, como executar builds no Cloud Build.

  • Para detalhes sobre as permissões necessárias para um serviço específico, consulte a documentação desse serviço.
  • Para saber como conceder permissões, consulte a documentação do Identity and Access Management sobre como conceder permissões a projetos.

Por padrão, muitos serviços têm permissões padrão para outros serviços no mesmo projeto, mas não podem acessar recursos em outro projeto. Se você estiver executando serviços em diferentes Google Cloud projetos ou usando papéis do IAM ou contas de serviço personalizadas, conceda as permissões apropriadas.

Como conceder permissões quando os serviços estão no mesmo projeto

Se o Cloud Build, o Artifact Registry, o Artifact Analysis e o Cloud Run estiverem em execução no mesmo projeto, cada serviço usará a conta de serviço padrão para agir em nome do serviço, e as permissões padrão não serão alteradas. Todos os serviços podem funcionar juntos sem mudanças nas permissões, mas é necessário conceder permissões aos usuários que precisam acessar insights no projeto.

Permissões entre serviços

Nenhuma mudança é necessária:

  • A conta de serviço padrão do Cloud Build tem permissões para fazer upload e download com o Artifact Registry e ler dados de insights do Artifact Analysis. Assim, o serviço pode assinar imagens de contêineres com a origem do build e enviá-las para o Artifact Registry.
  • As revisões do Cloud Run usam a conta de serviço padrão do Compute Engine para implantações, que tem permissões para fazer o download de imagens do Artifact Registry e ler dados de insights do Artifact Analysis.
Permissões do usuário para acessar insights

É necessário conceder aos usuários do Cloud Build e do Cloud Run as funções necessárias para visualizar insights.

Conceder permissões quando os serviços estão em projetos diferentes

Quando o Artifact Registry e o Artifact Analysis estão em execução em um projeto separado de outros serviços Google Cloud , é necessário conceder explicitamente permissões para todas as atividades entre projetos. Considere a seguinte configuração de projeto:

  • O Cloud Build é executado no projeto A
  • O Artifact Registry e o Artifact Analysis são executados no projeto B
  • O Cloud Run é executado no projeto C
Permissões entre serviços

O Cloud Build e o Cloud Run não podem acessar recursos em outros projetos sem conceder acesso explicitamente às contas de serviço que atuam em nome desses serviços. É necessário conceder as permissões do Artifact Registry e as permissões de análise de artefatos adequadas no projeto B, onde os artefatos e os metadados de artefato são armazenados.

Para o Cloud Build, é necessário conceder estas funções no projeto B:

  • O gravador do Artifact Registry (roles/artifactregistry.writer) concede permissões para fazer upload e download.
  • O leitor de ocorrências do Artifact Analysis (roles/containeranalysis.occurrences.viewer) concede permissões para exibir insights.

Para o Cloud Run, é necessário conceder estas funções no projeto B:

  • O leitor do Artifact Registry (roles/artifactregistry.reader) concede permissões para fazer o download de implantações.
  • O leitor de ocorrências do Artifact Analysis (roles/containeranalysis.occurrences.viewer) concede permissões para exibir insights.
Permissões do usuário para acessar insights

No projeto B, é necessário conceder aos usuários do Cloud Build e do Cloud Run com as funções necessárias a visualização de insights.

A seguir