Ce document explique comment activer les API pour les produits et fonctionnalités qui contribuent à protéger votre chaîne d'approvisionnement logicielle.
Pour collecter et afficher des insights sur la chaîne d'approvisionnement logicielle, vous devez activer les API suivantes :
- API Artifact Analysis pour stocker les métadonnées que d'autres servicesGoogle Cloud génèrent et utilisent.
- API Container Scanning pour analyser les images de conteneurs stockées dans Artifact Registry afin d'y détecter des failles et d'autres métadonnées. L'activation de cette API active automatiquement l'API Artifact Analysis.
- Artifact Registry pour stocker vos artefacts de compilation.
- Cloud Build pour générer des métadonnées de provenance de compilation.
- (GKE uniquement) API Container Security pour analyser les charges de travail en cours d'exécution à la recherche de failles dans l'OS.
Vous devez exécuter l'API Container Scanning dans le même projet Google Cloudqu'Artifact Registry. Vous pouvez exécuter d'autres services Google Cloud qui utilisent le registre dans des projets distincts.
Activer les API requises pour les insights
Pour activer les API requises pour générer et afficher des insights :
Console
Utiliser tous les services dans le même projet
Activez les API requises ensemble.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM
role (roles/serviceusage.serviceUsageAdmin), which
contains the serviceusage.services.enable permission. Learn how to grant
roles.
Utiliser des projets distincts
Activez Container Scanning et Artifact Registry dans le projet dans lequel vous souhaitez exécuter Artifact Registry.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.Activez l'API Cloud Build dans les projets dans lesquels vous exécutez Cloud Build.
Activez l'API Container Security dans les projets où vous exécutez GKE.
Google Cloud CLI
Utiliser tous les services dans le même projet
Activez les API requises ensemble.
gcloud services enable containerscanning.googleapis.com \
cloudbuild.googleapis.com \
artifactregistry.googleapis.com \
containersecurity.googleapis.com
Utiliser des projets distincts
Activez Container Scanning et Artifact Registry dans le projet dans lequel vous souhaitez exécuter Artifact Registry. Remplacez
AR_PROJECTpar l'ID de projet Google Cloud approprié.gcloud services enable containerscanning.googleapis.com \ artifactregistry.googleapis.com \ --project=AR_PROJECTActivez l'API Cloud Build dans les projets dans lesquels vous exécutez Cloud Build. Remplacez
BUILD_PROJECTpar l'ID de projet Google Cloud approprié.gcloud services enable cloudbuild.googleapis.com \ --project=BUILD_PROJECTActivez l'API Container Security dans les projets où vous exécutez GKE. Remplacez
GKE_PROJECTpar l'ID de projet Google Cloud approprié.gcloud services enable containersecurity.googleapis.com \ --project=GKE_PROJECT
Vous avez activé les API minimales requises pour générer et afficher des insights dans les panneaux de la consoleGoogle Cloud et dans le tableau de bord sur la posture de sécurité GKE.
Vous pouvez activer les API pour d'autres services à partir de la bibliothèque d'API ou à l'aide de la commande gcloud services enable.
Étapes suivantes
- Découvrez les autorisations IAM requises pour afficher les insights sur la sécurité.
- En savoir plus sur la sécurité de la chaîne d'approvisionnement logicielle dans la présentation
- Découvrez les pratiques de sécurité de la chaîne d'approvisionnement logicielle et comment les produits Google Cloud vous aident à les mettre en œuvre.