Ce document explique comment activer des API pour Software Delivery Shield. Software Delivery Shield est une solution de sécurité de la chaîne d'approvisionnement logicielle entièrement gérée sur Google Cloud.
Pour collecter et afficher les insights sur la chaîne d'approvisionnement logicielle, vous devez activer les API suivantes:
- l'API Artifact Analysis pour stocker les métadonnées générées et utilisées par d'autres services Google Cloud.
- L'API Container Scanning permet de rechercher des failles et d'autres métadonnées dans les images de conteneurs stockées dans Artifact Registry. L'activation de cette API active automatiquement l'API Artifact Analysis.
- Artifact Registry pour stocker vos artefacts de compilation 1
- Cloud Build pour générer des métadonnées de provenance de compilation
- (GKE uniquement) API Container Security pour analyser les charges de travail en cours d'exécution afin de détecter les failles du système d'exploitation.
Vous devez exécuter l'API Container Scanning dans le même projet Google Cloud qu'Artifact Registry. Vous pouvez exécuter d'autres services Google Cloud qui utilisent le registre dans des projets distincts.
1 Container Registry est activé automatiquement par l'API Container Scanning. Software Delivery Shield fournit des données limitées pour les fonctionnalités existantes et n'est pas compatible avec certaines fonctionnalités en version preview privée. Si vous utilisez actuellement Container Registry, envisagez de passer à Artifact Registry.
Activer les API requises pour les insights
Pour activer les API requises pour générer et afficher des insights:
Console
Utiliser tous les services dans le même projet
Activez ensemble les API requises.
Utiliser des projets distincts
Activez Container Scanning et Artifact Registry dans le projet où vous souhaitez exécuter Artifact Registry.
Activez l'API Cloud Build dans les projets dans lesquels vous exécutez Cloud Build.
Activez l'API Container Security dans les projets dans lesquels vous exécutez GKE.
Google Cloud CLI
Utiliser tous les services dans le même projet
Activez ensemble les API requises.
gcloud services enable containerscanning.googleapis.com \
cloudbuild.googleapis.com \
artifactregistry.googleapis.com \
containersecurity.googleapis.com
Utiliser des projets distincts
Activez Container Scanning et Artifact Registry dans le projet où vous souhaitez exécuter Artifact Registry. Remplacez
AR_PROJECTpar l'ID du projet Google Cloud approprié.gcloud services enable containerscanning.googleapis.com \ artifactregistry.googleapis.com \ --project=AR_PROJECTActivez l'API Cloud Build dans les projets dans lesquels vous exécutez Cloud Build. Remplacez
BUILD_PROJECTpar l'ID du projet Google Cloud approprié.gcloud services enable cloudbuild.googleapis.com \ --project=BUILD_PROJECTActivez l'API Container Security dans les projets dans lesquels vous exécutez GKE. Remplacez
GKE_PROJECTpar l'ID du projet Google Cloud approprié.gcloud services enable containersecurity.googleapis.com \ --project=GKE_PROJECT
Vous avez activé les API minimales requises pour générer et afficher des insights dans les panneaux Software Delivery Shield et dans le tableau de bord de stratégie de sécurité GKE de la console Google Cloud.
Vous pouvez activer des API pour d'autres services à partir de la bibliothèque d'API ou à l'aide de la commande gcloud services enable.
Étapes suivantes
- Découvrez les autorisations IAM requises pour afficher les insights de sécurité de Software Delivery Shield.
- En savoir plus sur les services Software Delivery Shield dans la présentation
- Découvrez les pratiques de sécurité sur la chaîne d'approvisionnement logicielle et comment Software Delivery Shield peut vous aider à les mettre en œuvre.