In diesem Dokument werden die IAM-Berechtigungen beschrieben, die zum Aufrufen von Sicherheitsinformationen für Software Delivery Shield erforderlich sind. Software Delivery Shield ist eine vollständig verwaltete Sicherheitslösung für die Softwarelieferkette in Google Cloud.
Erforderliche Rollen
Wenn Sie Statistiken aus Software Delivery Shield in der Google Cloud Console ansehen möchten, benötigen Sie die folgenden Rollen oder eine Rolle mit entsprechenden Berechtigungen:
- Cloud Build-Betrachter (
roles/cloudbuild.builds.viewer
): Sehen Sie sich Statistiken für einen Build an. - Betrachter von Artefaktanalysevorkommen (
roles/containeranalysis.occurrences.viewer
): Hier können Sie Sicherheitslücken, Build-Herkunft und andere Abhängigkeitsinformationen ansehen. - Cloud Run-Betrachter (
roles/run.viewer
): Sehen Sie sich Statistiken zu einer Cloud Run-Überarbeitung an. - Betrachter von Kubernetes Engine-Clustern (
roles/container.clusterViewer
): Sehen Sie sich Statistiken für einen GKE-Cluster an.
Diese Berechtigungen ermöglichen den Zugriff auf Statistiken, gewähren jedoch keine Berechtigungen zum Ausführen anderer Aktionen wie das Ausführen von Builds in Cloud Build.
- Einzelheiten zu den erforderlichen Berechtigungen für einen bestimmten Dienst finden Sie in der Dokumentation des jeweiligen Dienstes.
- Informationen zum Gewähren von Berechtigungen finden Sie in der Dokumentation zu Identity and Access Management unter Berechtigungen für Projekte erteilen.
Viele Dienste haben Standardberechtigungen für andere Dienste im selben Projekt, können aber nicht auf Ressourcen in einem anderen Projekt zugreifen. Wenn Sie Dienste in verschiedenen Google Cloud-Projekten ausführen oder benutzerdefinierte IAM-Rollen oder benutzerdefinierte Dienstkonten verwenden, müssen Sie die entsprechenden Berechtigungen selbst erteilen.
Berechtigungen gewähren, wenn sich Dienste im selben Projekt befinden
Wenn Cloud Build, Artifact Registry, Artefaktanalyse und Cloud Run im selben Projekt ausgeführt werden, verwendet jeder Dienst das Standarddienstkonto, um im Namen des Dienstes zu agieren, und die Standardberechtigungen bleiben unverändert. Die Dienste können alle zusammenarbeiten, ohne dass Änderungen an den Berechtigungen erforderlich sind. Sie müssen jedoch Nutzern, die Statistiken im Projekt sehen müssen, Berechtigungen erteilen.
- Berechtigungen zwischen Diensten
Es sind keine Änderungen erforderlich:
- Das standardmäßige Cloud Build-Dienstkonto hat die Berechtigungen zum Hoch- und Herunterladen in Artifact Registry sowie zum Lesen von Statistikdaten aus Artefaktanalyse, sodass der Dienst Container-Images mit Build-Herkunft signieren und an Artifact Registry übertragen kann.
- Cloud Run-Überarbeitungen verwenden für Bereitstellungen das Compute Engine-Standarddienstkonto. Dieses ist berechtigt, Images aus Artifact Registry herunterzuladen und Statistikdaten aus Artefaktanalyse zu lesen.
- Nutzerberechtigungen zum Ansehen von Statistiken
Nutzern von Cloud Build und Cloud Run müssen Sie die erforderlichen Rollen zum Ansehen von Statistiken zuweisen.
Berechtigungen gewähren, wenn sich Dienste in verschiedenen Projekten befinden
Wenn Artifact Registry und die Artefaktanalyse in einem separaten Projekt von anderen Google Cloud-Diensten ausgeführt werden, müssen Sie Berechtigungen für alle projektübergreifenden Aktivitäten explizit erteilen. Betrachten Sie die folgende Projektkonfiguration:
- Cloud Build wird in Projekt A ausgeführt
- Artifact Registry und Artefaktanalyse werden in Projekt B ausgeführt
- Cloud Run wird in Projekt C ausgeführt
- Berechtigungen zwischen Diensten
Cloud Build und Cloud Run können nicht auf Ressourcen in anderen Projekten zugreifen, ohne den Dienstkonten, die im Auftrag dieser Dienste agieren, explizit Zugriff zu gewähren. Sie müssen in Projekt B, in dem die Artefakte und Artefaktmetadaten gespeichert sind, entsprechende Artifact Registry-Berechtigungen und Artefaktanalyseberechtigungen erteilen.
Für Cloud Build müssen Sie diese Rollen in Projekt B zuweisen:
- Der Artifact Registry-Autor (
roles/artifactregistry.writer
) gewährt Berechtigungen zum Hochladen und Herunterladen. - Betrachter von Artefaktanalysevorkommen (
roles/containeranalysis.occurrences.viewer
) gewährt Berechtigungen zum Aufrufen von Statistiken.
- Der Artifact Registry-Autor (
Für Cloud Run müssen Sie diese Rollen in Projekt B gewähren:
- Der Artifact Registry-Leser (
roles/artifactregistry.reader
) gewährt Berechtigungen zum Herunterladen für Bereitstellungen. - Betrachter von Artefaktanalysevorkommen (
roles/containeranalysis.occurrences.viewer
) gewährt Berechtigungen zum Aufrufen von Statistiken.
- Der Artifact Registry-Leser (
- Nutzerberechtigungen zum Ansehen von Statistiken
In Projekt B müssen Sie Nutzern von Cloud Build und Cloud Run die erforderlichen Rollen für die Ansicht der Statistiken gewähren.
Nächste Schritte
- Weitere Informationen zu den Software Delivery Shield-Diensten finden Sie in der Übersicht.
- Informieren Sie sich über die Sicherheitspraktiken für die Softwarelieferkette und darüber, wie Sie mit Software Delivery Shield diese implementieren können.