Software Delivery Shield 사용 설정

이 문서에서는 Software Delivery Shield에 API를 사용 설정하는 방법을 설명합니다. Software Delivery Shield는 Google Cloud의 완전 관리형 소프트웨어 공급망 보안 솔루션입니다.

소프트웨어 공급망 통계를 수집하고 보려면 다음 API를 사용 설정해야 합니다.

  • 다른 Google Cloud 서비스에서 생성 및 사용하는 메타데이터를 저장하는 Container Analysis API
  • Artifact Registry에 저장된 컨테이너 이미지를 검사하여 취약점 및 기타 메타데이터를 스캔하는 Container Scanning API. 이 API를 사용 설정하면 Artifact Analysis API가 자동으로 사용 설정됩니다.
  • 빌드 아티팩트를 저장할 Artifact Registry 1
  • 빌드 출처 메타데이터를 생성하기 위한 Cloud Build
  • (GKE만 해당) 실행 중인 워크로드에서 OS 취약점을 스캔하는 Container Security API.

Container Scanning API는 Artifact Registry와 동일한 Google Cloud 프로젝트에서 실행해야 합니다. 별도의 프로젝트에서 레지스트리를 사용하는 다른 Google Cloud 서비스를 실행할 수 있습니다.

1 Container Registry는 Container Scanning API에 의해 자동으로 사용 설정됩니다. Software Delivery Shield는 기존 기능에 대한 제한된 데이터를 제공하며 비공개 미리보기에서 일부 기능을 지원하지 않습니다. 현재 Container Registry를 사용 중이면 Artifact Registry로 전환하는 것이 좋습니다.

통계에 필요한 API 사용 설정

통계를 생성하고 보는 데 필요한 API를 사용 설정하려면 다음 안내를 따르세요.

콘솔

동일한 프로젝트의 모든 서비스 사용

필요한 API를 함께 사용 설정합니다.

Enable the APIs

별도의 프로젝트 사용

  1. Artifact Registry를 실행하려는 프로젝트에서 Container Scanning 및 Artifact Registry를 사용 설정합니다.

    Enable the APIs

  2. Cloud Build를 실행하는 프로젝트에서 Cloud Build API를 사용 설정합니다.

    Cloud Build 사용 설정

  3. GKE를 실행하는 프로젝트에서 Container Security API를 사용 설정합니다.

    컨테이너 보안 사용 설정

Google Cloud CLI

동일한 프로젝트의 모든 서비스 사용

필요한 API를 함께 사용 설정합니다.

gcloud services enable containerscanning.googleapis.com \
    cloudbuild.googleapis.com \
    artifactregistry.googleapis.com \
    containersecurity.googleapis.com

별도의 프로젝트 사용

  1. Artifact Registry를 실행하려는 프로젝트에서 Container Scanning 및 Artifact Registry를 사용 설정합니다. AR_PROJECT를 적절한 Google Cloud 프로젝트 ID로 바꿉니다.

    gcloud services enable containerscanning.googleapis.com \
        artifactregistry.googleapis.com \
        --project=AR_PROJECT
    
  2. Cloud Build를 실행하는 프로젝트에서 Cloud Build API를 사용 설정합니다. BUILD_PROJECT를 적절한 Google Cloud 프로젝트 ID로 바꿉니다.

    gcloud services enable cloudbuild.googleapis.com \
        --project=BUILD_PROJECT
    
  3. GKE를 실행하는 프로젝트에서 Container Security API를 사용 설정합니다. GKE_PROJECT를 적절한 Google Cloud 프로젝트 ID로 바꿉니다.

    gcloud services enable containersecurity.googleapis.com \
         --project=GKE_PROJECT
    

Software Delivery Shield 패널과 Google Cloud 콘솔의 GKE 보안 상태 대시보드에서 통계를 생성하고 보려면 최소 필수 API를 사용 설정해야 합니다.

API 라이브러리 또는 gcloud services enable 명령어를 사용하여 다른 서비스에 API를 사용 설정할 수 있습니다.

다음 단계