Questo documento descrive le autorizzazioni IAM necessarie per visualizzare gli insight sulla sicurezza di Software Delivery Shield. Software Delivery Shield è una soluzione di sicurezza per la catena di fornitura del software completamente gestita su Google Cloud.
Ruoli obbligatori
Per visualizzare gli insight di Software Delivery Shield nella console Google Cloud, devi avere i seguenti ruoli o un ruolo con autorizzazioni equivalenti:
- Visualizzatore Cloud Build
(
roles/cloudbuild.builds.viewer): visualizza gli insight per una build. - Visualizzatore occorrenze di Artifact Analysis
(
roles/containeranalysis.occurrences.viewer): visualizza vulnerabilità, prova della build e altre informazioni sulle dipendenze. - Visualizzatore Cloud Run (
roles/run.viewer): visualizza insight per una revisione di Cloud Run. - Visualizzatore cluster Kubernetes Engine (
roles/container.clusterViewer): visualizza insight per un cluster GKE.
Queste autorizzazioni consentono di accedere a insight, ma non di eseguire altre azioni, come l'esecuzione di build in Cloud Build.
- Per i dettagli sulle autorizzazioni richieste per un servizio specifico, consulta la documentazione del servizio.
- Per saperne di più sulla concessione delle autorizzazioni, consulta la documentazione di Identity and Access Management su come concedere autorizzazioni ai progetti.
Per impostazione predefinita, molti servizi dispongono di autorizzazioni predefinite per altri servizi nello stesso progetto, ma non possono accedere alle risorse di un altro progetto. Se esegui servizi in diversi progetti Google Cloud o utilizzi ruoli IAM personalizzati o account di servizio personalizzati, devi concedere personalmente le autorizzazioni appropriate.
Concessione delle autorizzazioni quando i servizi si trovano nello stesso progetto
Se Cloud Build, Artifact Registry, Artifact Analysis e Cloud Run sono in esecuzione nello stesso progetto, ogni servizio utilizza l'account di servizio predefinito per agire per conto del servizio e le autorizzazioni predefinite rimangono invariate. I servizi possono interagire tutti senza modificare le autorizzazioni, ma è necessario concedere le autorizzazioni agli utenti che devono visualizzare gli insight nel progetto.
- Autorizzazioni tra i servizi
Non sono necessarie modifiche:
- L'account di servizio Cloud Build predefinito dispone delle autorizzazioni per caricare e scaricare con Artifact Registry e leggere dati di insight da Artifact Analysis, di conseguenza il servizio può firmare immagini container con provenienza della build ed eseguirne il push ad Artifact Registry.
- Le revisioni di Cloud Run utilizzano l'account di servizio predefinito di Compute Engine per i deployment, che dispone delle autorizzazioni per scaricare immagini da Artifact Registry e leggere i dati di approfondimento da Artifact Analysis.
- Autorizzazioni dell'utente per visualizzare approfondimenti
Devi concedere agli utenti di Cloud Build e Cloud Run i ruoli richiesti per visualizzare gli insight.
Concessione delle autorizzazioni quando i servizi si trovano in progetti diversi
Quando Artifact Registry e Artifact Analysis sono in esecuzione in un progetto separato dagli altri servizi Google Cloud, devi concedere esplicitamente le autorizzazioni per tutte le attività tra progetti. Prendi in considerazione la seguente configurazione del progetto:
- Cloud Build viene eseguito nel progetto A
- Artifact Registry e Artifact Analysis vengono eseguiti nel progetto B
- Cloud Run viene eseguito nel progetto C
- Autorizzazioni tra i servizi
Cloud Build e Cloud Run non possono accedere alle risorse in altri progetti senza concedere esplicitamente l'accesso agli account di servizio che agiscono per conto di questi servizi. Devi concedere le autorizzazioni di Artifact Registry e le autorizzazioni appropriate per l'analisi di Artifact Registry nel progetto B, in cui sono archiviati gli artefatti e i relativi metadati.
Per Cloud Build, devi concedere questi ruoli nel progetto B:
- Il Writer Artifact Registry (
roles/artifactregistry.writer) concede le autorizzazioni per il caricamento e il download. - Il visualizzatore occorrenze di Artifact Analysis (
roles/containeranalysis.occurrences.viewer) concede le autorizzazioni per visualizzare gli insight.
- Il Writer Artifact Registry (
Per Cloud Run, devi concedere questi ruoli nel progetto B:
- Il lettore Artifact Registry (
roles/artifactregistry.reader) concede le autorizzazioni per il download per i deployment. - Il visualizzatore occorrenze di Artifact Analysis (
roles/containeranalysis.occurrences.viewer) concede le autorizzazioni per visualizzare gli insight.
- Il lettore Artifact Registry (
- Autorizzazioni dell'utente per visualizzare approfondimenti
Nel progetto B, devi concedere agli utenti di Cloud Build e Cloud Run con i ruoli richiesti (visualizzazione degli insight).
Passaggi successivi
- Scopri di più sui servizi Software Delivery Shield nella panoramica
- Scopri di più sulle pratiche di sicurezza della catena di fornitura del software e su come Software Delivery Shield può aiutarti a implementarle.