Questo documento descrive come abilitare le API per Software Delivery Shield. Software Delivery Shield è una soluzione di sicurezza per la catena di fornitura del software completamente gestita su Google Cloud.
Per raccogliere e visualizzare insight sulla catena di fornitura del software, devi abilitare le API seguenti:
- l'API Artifact Analysis per archiviare i metadati generati e utilizzati da altri servizi Google Cloud.
- l'API Container Scanning per analizzare le immagini container archiviate in Artifact Registry alla ricerca di vulnerabilità e altri metadati. L'abilitazione di questa API abilita automaticamente l'API Artifact Analysis.
- Artifact Registry per archiviare gli artefatti della build. 1
- Cloud Build per generare metadati di provenienza della build.
- (Solo GKE) API Container Security per analizzare i carichi di lavoro in esecuzione in cerca di vulnerabilità del sistema operativo.
Devi eseguire l'API Container Scanning nello stesso progetto Google Cloud di Artifact Registry. Puoi eseguire altri servizi Google Cloud che utilizzano il registro in progetti separati.
1 Container Registry viene abilitato automaticamente dall'API Container Scanning. Software Delivery Shield fornisce dati limitati per le funzionalità esistenti e non supporta alcune funzionalità nell'anteprima privata. Se attualmente utilizzi Container Registry, valuta la possibilità di passare ad Artifact Registry.
Abilita le API richieste per gli insight
Per abilitare le API necessarie per generare e visualizzare insight:
Console
Utilizzare tutti i servizi nello stesso progetto
Abilita insieme le API richieste.
Utilizzare progetti separati
Abilita Container Scanning e Artifact Registry nel progetto in cui vuoi eseguire Artifact Registry.
Abilitare l'API Cloud Build nei progetti in cui esegui Cloud Build.
Abilita l'API Container Security nei progetti in cui esegui GKE.
Google Cloud CLI
Utilizzare tutti i servizi nello stesso progetto
Abilita insieme le API richieste.
gcloud services enable containerscanning.googleapis.com \
cloudbuild.googleapis.com \
artifactregistry.googleapis.com \
containersecurity.googleapis.com
Utilizzare progetti separati
Abilita Container Scanning e Artifact Registry nel progetto in cui vuoi eseguire Artifact Registry. Sostituisci
AR_PROJECTcon l'ID progetto Google Cloud appropriato.gcloud services enable containerscanning.googleapis.com \ artifactregistry.googleapis.com \ --project=AR_PROJECTAbilitare l'API Cloud Build nei progetti in cui esegui Cloud Build. Sostituisci
BUILD_PROJECTcon l'ID progetto Google Cloud appropriato.gcloud services enable cloudbuild.googleapis.com \ --project=BUILD_PROJECTAbilita l'API Container Security nei progetti in cui esegui GKE. Sostituisci
GKE_PROJECTcon l'ID progetto Google Cloud appropriato.gcloud services enable containersecurity.googleapis.com \ --project=GKE_PROJECT
Hai abilitato le API minime richieste per generare e visualizzare insight nei pannelli Software Delivery Shield e nella dashboard della postura di sicurezza di GKE nella console Google Cloud.
Puoi abilitare le API per altri servizi dalla libreria API o con il comando gcloud services enable.
Passaggi successivi
- Scopri di più sulle autorizzazioni IAM necessarie per visualizzare gli insight sulla sicurezza di Software Delivery Shield.
- Scopri di più sui servizi Software Delivery Shield nella panoramica
- Scopri di più sulle pratiche di sicurezza della catena di fornitura del software e su come Software Delivery Shield può aiutarti a implementarle.