このドキュメントでは、ソフトウェア サプライ チェーンの保護に役立つプロダクトと機能の API を有効にする方法について説明します。
ソフトウェア サプライ チェーンの分析情報を収集して表示するには、次の API を有効にする必要があります。
- Artifact Analysis API。他のGoogle Cloud サービスが生成して使用するメタデータを保存します。
- Container Scanning API。Artifact Registry に保存されているコンテナ イメージの脆弱性や他のメタデータをスキャンします。この API を有効にすると、Artifact Analysis API が自動的に有効になります。
- ビルド アーティファクトを格納する Artifact Registry。
- ビルドの場所メタデータを生成する Cloud Build。
- (GKE のみ)実行中のワークロードで OS の脆弱性をスキャンする Container Security API。
Container Scanning API は、Artifact Registry と同じプロジェクトで実行する必要があります。 Google Cloudレジストリを使用する他のサービスは、個別のプロジェクトで実行できます。 Google Cloud
分析情報に必要な API を有効にする
分析情報を生成して表示するために必要な API を有効にするには:
コンソール
同じプロジェクト内のすべてのサービスを使用する
必要な API をまとめて有効にします。
個別のプロジェクトを使用する
Artifact Registry を実行するプロジェクトで Container Scanning と Artifact Registry を有効にします。
Cloud Build を実行しているプロジェクトで Cloud Build API を有効にします。
GKE を実行しているプロジェクトで Container Security API を有効にします。
Google Cloud CLI
同じプロジェクト内のすべてのサービスを使用する
必要な API をまとめて有効にします。
gcloud services enable containerscanning.googleapis.com \
cloudbuild.googleapis.com \
artifactregistry.googleapis.com \
containersecurity.googleapis.com
個別のプロジェクトを使用する
Artifact Registry を実行するプロジェクトで Container Scanning と Artifact Registry を有効にします。
AR_PROJECTは、適切なプロジェクト ID に置き換えます。 Google Cloudgcloud services enable containerscanning.googleapis.com \ artifactregistry.googleapis.com \ --project=AR_PROJECTCloud Build を実行しているプロジェクトで Cloud Build API を有効にします。
BUILD_PROJECTは、適切なプロジェクト ID に置き換えます。 Google Cloudgcloud services enable cloudbuild.googleapis.com \ --project=BUILD_PROJECTGKE を実行しているプロジェクトで Container Security API を有効にします。
GKE_PROJECTは、適切なプロジェクト ID に置き換えます。 Google Cloudgcloud services enable containersecurity.googleapis.com \ --project=GKE_PROJECT
Google Cloud コンソールのパネルと GKE セキュリティ体制ダッシュボードで分析情報を生成して表示するために必要な最小 API が有効になっています。
他のサービスの API は、API ライブラリまたは gcloud services enable コマンドを使用して有効にできます。
次のステップ
- セキュリティ分析情報を表示するために必要な IAM 権限について学習する。
- ソフトウェア サプライ チェーンのセキュリティの詳細については、概要をご覧ください。
- ソフトウェア サプライ チェーンのセキュリティ対策と、それらを実装する際にプロダクトがどのように役立つかについて学びます。 Google Cloud