In diesem Dokument wird beschrieben, wie Sie APIs für Software Delivery Shield aktivieren. Software Delivery Shield ist eine vollständig verwaltete Sicherheitslösung für die Softwarelieferkette in Google Cloud.
Wenn Sie Informationen zur Softwarelieferkette erfassen und aufrufen möchten, müssen Sie die folgenden APIs aktivieren:
- Artifact Analysis API zum Speichern von Metadaten, die von anderen Google Cloud-Diensten generiert und verwendet werden.
- Container Scanning API zum Scannen von Container-Images, die in Artifact Registry gespeichert sind, auf Sicherheitslücken und andere Metadaten. Wenn Sie diese API aktivieren, wird auch die Artifact Analysis API automatisch aktiviert.
- Artifact Registry zum Speichern Ihrer Build-Artefakte. 1
- Cloud Build zum Generieren von Build-Herkunftsmetadaten.
- (Nur GKE) Container Security API zum Scannen laufender Arbeitslasten auf Sicherheitslücken des Betriebssystems.
Sie müssen die Container Scanning API im selben Google Cloud-Projekt wie Artifact Registry ausführen. Sie können andere Google Cloud-Dienste, die die Registry verwenden, in separaten Projekten ausführen.
1 Container Registry wird von der Container Scanning API automatisch aktiviert. Software Delivery Shield bietet begrenzte Daten für vorhandene Funktionen und unterstützt einige Funktionen in der privaten Vorschau nicht. Wenn Sie aktuell Container Registry verwenden, sollten Sie eine Umstellung auf Artifact Registry in Betracht ziehen.
Für Statistiken erforderliche APIs aktivieren
So aktivieren Sie APIs, die zum Generieren und Aufrufen von Statistiken erforderlich sind:
Console
Alle Dienste im selben Projekt verwenden
Aktivieren Sie die erforderlichen APIs gemeinsam.
Separate Projekte verwenden
Aktivieren Sie Container Scanning und Artifact Registry in dem Projekt, in dem Sie Artifact Registry ausführen möchten.
Aktivieren Sie die Cloud Build API in Projekten, in denen Sie Cloud Build ausführen.
Aktivieren Sie die Container Security API in Projekten, in denen Sie GKE ausführen.
Google Cloud CLI
Alle Dienste im selben Projekt verwenden
Aktivieren Sie die erforderlichen APIs gemeinsam.
gcloud services enable containerscanning.googleapis.com \
cloudbuild.googleapis.com \
artifactregistry.googleapis.com \
containersecurity.googleapis.com
Separate Projekte verwenden
Aktivieren Sie Container Scanning und Artifact Registry in dem Projekt, in dem Sie Artifact Registry ausführen möchten. Ersetzen Sie
AR_PROJECTdurch die entsprechende Google Cloud-Projekt-ID.gcloud services enable containerscanning.googleapis.com \ artifactregistry.googleapis.com \ --project=AR_PROJECTAktivieren Sie die Cloud Build API in Projekten, in denen Sie Cloud Build ausführen. Ersetzen Sie
BUILD_PROJECTdurch die entsprechende Google Cloud-Projekt-ID.gcloud services enable cloudbuild.googleapis.com \ --project=BUILD_PROJECTAktivieren Sie die Container Security API in Projekten, in denen Sie GKE ausführen. Ersetzen Sie
GKE_PROJECTdurch die entsprechende Google Cloud-Projekt-ID.gcloud services enable containersecurity.googleapis.com \ --project=GKE_PROJECT
Sie haben die mindestens erforderlichen APIs zum Generieren und Ansehen von Statistiken in den Software Delivery Shield-Bereichen und im Dashboard für den GKE-Sicherheitsstatus in der Google Cloud Console aktiviert.
Sie können APIs für andere Dienste über die API-Bibliothek oder mit dem Befehl gcloud services enable aktivieren.
Nächste Schritte
- Informieren Sie sich über die IAM-Berechtigungen, die zum Aufrufen von Sicherheitsinformationen von Software Delivery Shield erforderlich sind.
- Weitere Informationen zu den Software Delivery Shield-Diensten finden Sie in der Übersicht.
- Informieren Sie sich über die Sicherheitspraktiken für die Softwarelieferkette und darüber, wie Sie mit Software Delivery Shield diese implementieren können.