Este documento descreve as permissões do IAM necessárias para visualizar insights de segurança da cadeia de fornecimento de software no console Google Cloud .
Funções exigidas
Para acessar insights de segurança da cadeia de suprimentos de software no console doGoogle Cloud , você precisa ter as seguintes funções ou uma função com permissões equivalentes:
- Leitor do Cloud Build
(
roles/cloudbuild.builds.viewer
): confira insights de um build. - Leitor de ocorrências do Artifact Analysis
(
roles/containeranalysis.occurrences.viewer
): veja vulnerabilidades, procedência de build e outras informações de dependência. - Leitor do Cloud Run (
roles/run.viewer
): confira insights de uma revisão do Cloud Run. - Leitor de cluster do Kubernetes Engine (
roles/container.clusterViewer
): confira insights de um cluster do GKE.
Essas permissões dão acesso a insights, mas não permitem realizar outras ações, como executar builds no Cloud Build.
- Para detalhes sobre as permissões necessárias para um serviço específico, consulte a documentação dele.
- Para saber como conceder permissões, consulte a documentação do Identity and Access Management sobre concessão de permissões a projetos.
Por padrão, muitos serviços têm permissões padrão para outros serviços no mesmo projeto, mas não podem acessar recursos em outro projeto. Se você estiver executando serviços em diferentes projetos do Google Cloud ou se estiver usando papéis personalizados do IAM ou contas de serviço personalizadas, será necessário conceder as permissões adequadas.
Como conceder permissões quando os serviços estão no mesmo projeto
Se o Cloud Build, o Artifact Registry, o Artifact Analysis e o Cloud Run estiverem sendo executados no mesmo projeto, cada serviço usará a conta de serviço padrão para agir em nome do serviço, e as permissões padrão não serão alteradas. Os serviços podem trabalhar juntos sem mudanças nas permissões, mas é necessário conceder permissões aos usuários que precisam ver insights no projeto.
- Permissões entre serviços
Nenhuma mudança é necessária:
- A conta de serviço padrão do Cloud Build tem permissões para fazer upload e download com o Artifact Registry e ler dados de insights do Artifact Analysis. Assim, o serviço pode assinar imagens de contêiner com a origem da build e enviá-las para o Artifact Registry.
- As revisões do Cloud Run usam a conta de serviço padrão do Compute Engine para implantações, que tem permissões para baixar imagens do Artifact Registry e ler dados de insights do Artifact Analysis.
- Permissões do usuário para ver insights
É necessário conceder aos usuários do Cloud Build e do Cloud Run os papéis necessários para ver insights.
Conceder permissões quando os serviços estão em projetos diferentes
Quando o Artifact Registry e o Artifact Analysis são executados em projetos separados de outros serviços do Google Cloud , é necessário conceder permissões explicitamente para toda a atividade entre projetos. Considere a seguinte configuração de projeto:
- O Cloud Build é executado no projeto A
- O Artifact Registry e o Artifact Analysis são executados no projeto B
- O Cloud Run é executado no projeto C
- Permissões entre serviços
O Cloud Build e o Cloud Run não podem acessar recursos em outros projetos sem conceder acesso explicitamente às contas de serviço que atuam em nome desses serviços. Você precisa conceder as permissões do Artifact Registry e da Análise de artefatos adequadas no projeto B, em que os artefatos e os metadados de artefatos são armazenados.
Para o Cloud Build, conceda estes papéis no projeto B:
- O Gravador do Artifact Registry (
roles/artifactregistry.writer
) concede permissões para fazer upload e download. - O Leitor de ocorrências do Artifact Analysis
(
roles/containeranalysis.occurrences.viewer
) concede permissões para mostrar insights.
- O Gravador do Artifact Registry (
Para o Cloud Run, conceda estes papéis no projeto B:
- O leitor do Artifact Registry (
roles/artifactregistry.reader
) concede permissões para fazer o download de implantações. - O Leitor de ocorrências do Artifact Analysis
(
roles/containeranalysis.occurrences.viewer
) concede permissões para mostrar insights.
- O leitor do Artifact Registry (
- Permissões do usuário para ver insights
No projeto B, conceda aos usuários do Cloud Build e do Cloud Run os papéis necessários para ver insights.
A seguir
- Saiba mais sobre como os serviços do Google Cloud protegem sua cadeia de suprimentos de software na visão geral.
- Saiba mais sobre as práticas de segurança da cadeia de suprimentos de software e como os serviços do Google Cloud podem ajudar você a implementá-las.