En este documento, se describe cómo habilitar las APIs para Software Delivery Shield. Software Delivery Shield es una solución de seguridad de la cadena de suministro de software completamente administrada en Google Cloud.
Para recopilar y ver estadísticas de la cadena de suministro de software, debes habilitar las siguientes APIs:
- La API de Artifact Analysis para almacenar metadatos que generan y usan otros servicios de Google Cloud
- La API de Container Scanning, que permite analizar las imágenes de contenedores almacenadas en Artifact Registry para detectar vulnerabilidades y otros metadatos Si habilitas esta API, se habilitará automáticamente la API de Artifact Analysis.
- Artifact Registry para almacenar los artefactos de compilación. 1
- Cloud Build para generar metadatos de origen de compilación
- API de Container Security (solo GKE) para analizar las cargas de trabajo en ejecución en busca de vulnerabilidades del SO.
Debes ejecutar la API de Container Scanning en el mismo proyecto de Google Cloud que Artifact Registry. Puedes ejecutar otros servicios de Google Cloud que usan el registro en proyectos diferentes.
1 Container Registry se habilita automáticamente mediante la API de Container Scanning. Software Delivery Shield proporciona datos limitados sobre las funciones existentes y no admite algunas funciones en la versión preliminar privada. Si en la actualidad usas Container Registry, considera realizar la transición a Artifact Registry.
Habilita las APIs necesarias para las estadísticas
Sigue estos pasos a fin de habilitar las APIs necesarias para generar y ver estadísticas:
Consola
Usa todos los servicios del mismo proyecto
Habilita juntas las APIs necesarias.
Usa proyectos diferentes
Habilita Container Scanning y Artifact Registry en el proyecto en el que deseas ejecutar Artifact Registry.
Habilita la API de Cloud Build en los proyectos en los que ejecutas Cloud Build.
Habilita la API de Container Security en los proyectos en los que ejecutas GKE.
Google Cloud CLI
Usa todos los servicios del mismo proyecto
Habilita juntas las APIs necesarias.
gcloud services enable containerscanning.googleapis.com \
cloudbuild.googleapis.com \
artifactregistry.googleapis.com \
containersecurity.googleapis.com
Usa proyectos diferentes
Habilita Container Scanning y Artifact Registry en el proyecto en el que deseas ejecutar Artifact Registry. Reemplaza
AR_PROJECTpor el ID del proyecto de Google Cloud adecuado.gcloud services enable containerscanning.googleapis.com \ artifactregistry.googleapis.com \ --project=AR_PROJECTHabilita la API de Cloud Build en los proyectos en los que ejecutas Cloud Build. Reemplaza
BUILD_PROJECTpor el ID del proyecto de Google Cloud adecuado.gcloud services enable cloudbuild.googleapis.com \ --project=BUILD_PROJECTHabilita la API de Container Security en los proyectos en los que ejecutas GKE. Reemplaza
GKE_PROJECTpor el ID del proyecto de Google Cloud adecuado.gcloud services enable containersecurity.googleapis.com \ --project=GKE_PROJECT
Habilitaste las APIs mínimas necesarias para generar y ver estadísticas en los paneles de Software Delivery Shield y en el panel de postura de seguridad de GKE en la consola de Google Cloud.
Puedes habilitar las APIs para otros servicios desde la biblioteca de APIs o con el comando gcloud services enable.
¿Qué sigue?
- Obtén información sobre los permisos de IAM que se requieren para ver las estadísticas de seguridad de Software Delivery Shield.
- Obtén más información sobre los servicios de Software Delivery Shield en la descripción general.
- Obtén más información sobre las prácticas de seguridad de la cadena de suministro de software y cómo Software Delivery Shield puede ayudarte a implementarlas.