このドキュメントでは、ソフトウェア デリバリー シールドの API を有効にする方法について説明します。ソフトウェア デリバリー シールドは、Google Cloud 上のフルマネージド ソフトウェア サプライ チェーン セキュリティ ソリューションです。
ソフトウェア サプライ チェーンの分析情報を収集して表示するには、次の API を有効にする必要があります。
- Artifact Analysis API。他の Google Cloud サービスが生成して使用するメタデータを保存します。
- Container Scanning API。Artifact Registry に保存されているコンテナ イメージの脆弱性や他のメタデータをスキャンします。この API を有効にすると、Artifact Analysis API が自動的に有効になります。
- ビルド アーティファクトを格納する Artifact Registry。1
- ビルドの場所メタデータを生成する Cloud Build。
- (GKE のみ)実行中のワークロードで OS の脆弱性をスキャンする Container Security API。
Container Scanning API は、Artifact Registry と同じ Google Cloud プロジェクトで実行する必要があります。レジストリを使用するほかの Google Cloud サービスを個別のプロジェクトで実行できます。
1 Container Registry は、Container Scanning API によって自動的に有効になります。Software Delivery Shield は、既存の機能に関するデータが制限され、限定公開プレビューでは一部の機能をサポートしていません。 現在 Container Registry を使用している場合は、Artifact Registry への移行を検討してください。
分析情報に必要な API を有効にする
分析情報を生成して表示するために必要な API を有効にするには:
コンソール
同じプロジェクト内のすべてのサービスを使用する
必要な API をまとめて有効にします。
個別のプロジェクトを使用する
Artifact Registry を実行するプロジェクトで Container Scanning と Artifact Registry を有効にします。
Cloud Build を実行しているプロジェクトで Cloud Build API を有効にします。
GKE を実行しているプロジェクトで Container Security API を有効にします。
Google Cloud CLI
同じプロジェクト内のすべてのサービスを使用する
必要な API をまとめて有効にします。
gcloud services enable containerscanning.googleapis.com \
cloudbuild.googleapis.com \
artifactregistry.googleapis.com \
containersecurity.googleapis.com
個別のプロジェクトを使用する
Artifact Registry を実行するプロジェクトで Container Scanning と Artifact Registry を有効にします。
AR_PROJECT
は、適切な Google Cloud プロジェクト ID に置き換えます。gcloud services enable containerscanning.googleapis.com \ artifactregistry.googleapis.com \ --project=AR_PROJECT
Cloud Build を実行しているプロジェクトで Cloud Build API を有効にします。
BUILD_PROJECT
は、適切な Google Cloud プロジェクト ID に置き換えます。gcloud services enable cloudbuild.googleapis.com \ --project=BUILD_PROJECT
GKE を実行しているプロジェクトで Container Security API を有効にします。
GKE_PROJECT
は、適切な Google Cloud プロジェクト ID に置き換えます。gcloud services enable containersecurity.googleapis.com \ --project=GKE_PROJECT
ソフトウェア デリバリー シールド パネルと Google Cloud コンソールの GKE セキュリティ体制ダッシュボードで分析情報を生成して表示するために必要な最小 API が有効になっています。
他のサービスの API は、API ライブラリまたは gcloud services enable コマンドを使用して有効にできます。
次のステップ
- ソフトウェア デリバリー シールドのセキュリティ分析情報を表示するために必要な IAM 権限について学習する。
- 概要で Software Delivery Shield サービスの詳細を確認する
- ソフトウェア サプライ チェーンのセキュリティ対策と、Software Delivery Shield を使用してそれらを実装する方法について学習する。