Neste documento, descrevemos como ativar APIs para produtos e recursos que ajudam a proteger sua cadeia de suprimentos de software.
Para coletar e conferir insights da cadeia de suprimentos de software, ative as seguintes APIs:
- API Artifact Analysis para armazenar metadados que outros serviçosGoogle Cloud geram e usam.
- API Container Scanning para verificar vulnerabilidades e outros metadados em imagens de contêiner armazenadas no Artifact Registry. A ativação dessa API ativa automaticamente a API Artifact Analysis.
- Artifact Registry para armazenar seus artefatos de build.
- O Cloud Build para gerar metadados de procedência do build.
- (Somente GKE) API Container Security para verificar vulnerabilidades do SO em cargas de trabalho em execução.
É preciso executar a API Container Scanning no mesmo projeto Google Cloud do Artifact Registry. É possível executar outros serviços do Google Cloud que usam o registro em projetos separados.
Ativar as APIs necessárias para insights
Para ativar as APIs necessárias para gerar e ver insights:
Console
Use todos os serviços no mesmo projeto
Ative as APIs necessárias juntas.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM
role (roles/serviceusage.serviceUsageAdmin), which
contains the serviceusage.services.enable permission. Learn how to grant
roles.
Usar projetos separados
Ative o Container Scanning e o Artifact Registry no projeto em que você quer executar o Artifact Registry.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.Ative a API Cloud Build nos projetos em que você está executando o Cloud Build.
Ative a API Container Security nos projetos em que você está executando o GKE.
CLI do Google Cloud
Use todos os serviços no mesmo projeto
Ative as APIs necessárias juntas.
gcloud services enable containerscanning.googleapis.com \
cloudbuild.googleapis.com \
artifactregistry.googleapis.com \
containersecurity.googleapis.com
Usar projetos separados
Ative o Container Scanning e o Artifact Registry no projeto em que você quer executar o Artifact Registry. Substitua
AR_PROJECTpelo ID do projeto Google Cloud adequado.gcloud services enable containerscanning.googleapis.com \ artifactregistry.googleapis.com \ --project=AR_PROJECTAtive a API Cloud Build nos projetos em que você está executando o Cloud Build. Substitua
BUILD_PROJECTpelo ID do projeto Google Cloud adequado.gcloud services enable cloudbuild.googleapis.com \ --project=BUILD_PROJECTAtive a API Container Security nos projetos em que você está executando o GKE. Substitua
GKE_PROJECTpelo ID do projeto Google Cloud adequado.gcloud services enable containersecurity.googleapis.com \ --project=GKE_PROJECT
Você ativou as APIs mínimas necessárias para gerar e visualizar insights nos painéis do consoleGoogle Cloud e no painel de postura de segurança do GKE.
É possível ativar APIs para outros serviços na biblioteca de APIs ou com o comando gcloud services enable.
A seguir
- Saiba mais sobre as permissões do IAM necessárias para acessar os insights de segurança.
- Saiba mais sobre a segurança da cadeia de suprimentos de software na visão geral
- Saiba mais sobre as práticas de segurança da cadeia de suprimentos de software e como os produtos do Google Cloud ajudam você a implementá-las.