Este documento descreve como ativar APIs para o Software Delivery Shield. O Software Delivery Shield é uma solução totalmente gerenciada de segurança da cadeia de suprimentos de software no Google Cloud.
Para coletar e visualizar insights da cadeia de suprimentos de software, ative as seguintes APIs:
- API Artifact Analysis para armazenar metadados que outros serviços do Google Cloud geram e usam.
- a API Container Scanning para verificar imagens de contêiner armazenadas no Artifact Registry em busca de vulnerabilidades e outros metadados. A ativação dessa API ativa automaticamente a API Artifact Analysis.
- Artifact Registry para armazenar artefatos de build. 1
- Cloud Build para gerar metadados de procedência do build.
- (Somente no GKE) API Container Security para verificar vulnerabilidades do SO em cargas de trabalho em execução.
Execute a API Container Scanning no mesmo projeto do Google Cloud que o Artifact Registry. É possível executar outros serviços do Google Cloud que usam o registro em projetos separados.
1 O Container Registry é ativado automaticamente pela API Container Scanning. O Software Delivery Shield fornece dados limitados para os recursos atuais e não é compatível com alguns recursos na visualização particular. Se você estiver usando o Container Registry, considere fazer a transição para o Artifact Registry.
Ativar as APIs necessárias para receber insights
Se quiser ativar as APIs necessárias para gerar e acessar insights, faça o seguinte:
Console
Usar todos os serviços no mesmo projeto
Ative as APIs necessárias juntas.
Usar projetos separados
Ative o Container Scanning e o Artifact Registry no projeto em que você quer executar o Artifact Registry.
Ative a API Cloud Build nos projetos em que você está executando o Cloud Build.
Ative a API Container Security nos projetos em que você executa o GKE.
Google Cloud CLI
Usar todos os serviços no mesmo projeto
Ative as APIs necessárias juntas.
gcloud services enable containerscanning.googleapis.com \
cloudbuild.googleapis.com \
artifactregistry.googleapis.com \
containersecurity.googleapis.com
Usar projetos separados
Ative o Container Scanning e o Artifact Registry no projeto em que você quer executar o Artifact Registry. Substitua
AR_PROJECTpelo ID do projeto apropriado do Google Cloud.gcloud services enable containerscanning.googleapis.com \ artifactregistry.googleapis.com \ --project=AR_PROJECTAtive a API Cloud Build nos projetos em que você está executando o Cloud Build. Substitua
BUILD_PROJECTpelo ID do projeto apropriado do Google Cloud.gcloud services enable cloudbuild.googleapis.com \ --project=BUILD_PROJECTAtive a API Container Security nos projetos em que você executa o GKE. Substitua
GKE_PROJECTpelo ID do projeto apropriado do Google Cloud.gcloud services enable containersecurity.googleapis.com \ --project=GKE_PROJECT
Você ativou o mínimo de APIs necessárias para gerar e visualizar insights nos painéis do Software Delivery Shield e no painel de postura de segurança do GKE no console do Google Cloud.
É possível ativar APIs para outros serviços pela biblioteca de APIs ou com o comando gcloud services enable.
A seguir
- Saiba mais sobre as permissões do IAM necessárias para ver os insights de segurança do Software Delivery Shield.
- Saiba mais sobre os serviços do Software Delivery Shield na visão geral
- Saiba mais sobre as práticas de segurança da cadeia de suprimentos de software e como o Software Delivery Shield pode ajudar você a implementá-las.