本文档介绍了如何为 Software Delivery Shield 启用 API。Software Delivery Shield 是 Google Cloud 上的一种全代管式软件供应链安全解决方案。
如需收集和查看软件供应链数据分析,您必须启用以下 API:
- Artifact Analysis API 用于存储其他 Google Cloud 服务生成和使用的元数据。
- Container Scanning API,用于扫描存储在 Artifact Registry 中的容器映像,以查找漏洞和其他元数据。启用此 API 会自动启用 Artifact Analysis API。
- Artifact Registry,用于存储构建工件。1
- Cloud Build 生成构建出处元数据。
- (仅限 GKE)Container Security API,用于扫描正在运行的工作负载是否存在操作系统漏洞。
您必须在与 Artifact Registry 相同的 Google Cloud 项目中运行 Container Scanning API。您可以在单独的项目中运行使用该注册表的其他 Google Cloud 服务。
1 Container Registry 由 Container Scanning API 自动启用。Software Delivery Shield 可为现有功能提供有限的数据,并且不支持非公开预览版中的某些功能。如果您目前使用的是 Container Registry,请考虑改用 Artifact Registry。
启用数据分析所需的 API
如需启用生成和查看数据分析所需的 API,请执行以下操作:
控制台
使用同一项目中的所有服务
同时启用所需的 API。
使用不同的项目
在要运行 Artifact Registry 的项目中启用 Container Scanning 和 Artifact Registry。
在运行 Cloud Build 的项目中启用 Cloud Build API。
在运行 GKE 的项目中启用 Container Security API。
Google Cloud CLI
使用同一项目中的所有服务
同时启用所需的 API。
gcloud services enable containerscanning.googleapis.com \
cloudbuild.googleapis.com \
artifactregistry.googleapis.com \
containersecurity.googleapis.com
使用不同的项目
在要运行 Artifact Registry 的项目中启用 Container Scanning 和 Artifact Registry。将
AR_PROJECT替换为相应的 Google Cloud 项目 ID。gcloud services enable containerscanning.googleapis.com \ artifactregistry.googleapis.com \ --project=AR_PROJECT在运行 Cloud Build 的项目中启用 Cloud Build API。将
BUILD_PROJECT替换为相应的 Google Cloud 项目 ID。gcloud services enable cloudbuild.googleapis.com \ --project=BUILD_PROJECT在运行 GKE 的项目中启用 Container Security API。将
GKE_PROJECT替换为相应的 Google Cloud 项目 ID。gcloud services enable containersecurity.googleapis.com \ --project=GKE_PROJECT
您已启用在 Software Delivery Shield 面板和 Google Cloud 控制台的 GKE 安全状况信息中心生成和查看数据分析所需的最低 API 量。
您可以通过 API 库或使用 gcloud servicesenable 命令为其他服务启用 API。
后续步骤
- 了解查看 Software Delivery Shield 安全性数据分析所需的 IAM 权限。
- 如需详细了解 Software Delivery Shield 服务,请参阅概览
- 了解软件供应链安全做法以及 Software Delivery Shield 如何帮助您实施这些实践。