Software Delivery Shield を有効にする

このドキュメントでは、ソフトウェア デリバリー シールドの API を有効にする方法について説明します。ソフトウェア デリバリー シールドは、Google Cloud 上のフルマネージド ソフトウェア サプライ チェーン セキュリティ ソリューションです。

ソフトウェア サプライ チェーンの分析情報を収集して表示するには、次の API を有効にする必要があります。

  • Artifact Analysis API。他の Google Cloud サービスが生成して使用するメタデータを保存します。
  • Container Scanning API。Artifact Registry に保存されているコンテナ イメージの脆弱性や他のメタデータをスキャンします。この API を有効にすると、Artifact Analysis API が自動的に有効になります。
  • ビルド アーティファクトを格納する Artifact Registry。1
  • ビルドの場所メタデータを生成する Cloud Build。
  • (GKE のみ)実行中のワークロードで OS の脆弱性をスキャンする Container Security API。

Container Scanning API は、Artifact Registry と同じ Google Cloud プロジェクトで実行する必要があります。レジストリを使用するほかの Google Cloud サービスを個別のプロジェクトで実行できます。

1 Container Registry は、Container Scanning API によって自動的に有効になります。Software Delivery Shield は、既存の機能に関するデータが制限され、限定公開プレビューでは一部の機能をサポートしていません。 現在 Container Registry を使用している場合は、Artifact Registry への移行を検討してください。

分析情報に必要な API を有効にする

分析情報を生成して表示するために必要な API を有効にするには:

コンソール

同じプロジェクト内のすべてのサービスを使用する

必要な API をまとめて有効にします。

Enable the APIs

個別のプロジェクトを使用する

  1. Artifact Registry を実行するプロジェクトで Container Scanning と Artifact Registry を有効にします。

    Enable the APIs

  2. Cloud Build を実行しているプロジェクトで Cloud Build API を有効にします。

    Cloud Build を有効にする

  3. GKE を実行しているプロジェクトで Container Security API を有効にします。

    Container Security を有効にする

Google Cloud CLI

同じプロジェクト内のすべてのサービスを使用する

必要な API をまとめて有効にします。

gcloud services enable containerscanning.googleapis.com \
    cloudbuild.googleapis.com \
    artifactregistry.googleapis.com \
    containersecurity.googleapis.com

個別のプロジェクトを使用する

  1. Artifact Registry を実行するプロジェクトで Container Scanning と Artifact Registry を有効にします。AR_PROJECT は、適切な Google Cloud プロジェクト ID に置き換えます。

    gcloud services enable containerscanning.googleapis.com \
        artifactregistry.googleapis.com \
        --project=AR_PROJECT
    
  2. Cloud Build を実行しているプロジェクトで Cloud Build API を有効にします。BUILD_PROJECT は、適切な Google Cloud プロジェクト ID に置き換えます。

    gcloud services enable cloudbuild.googleapis.com \
        --project=BUILD_PROJECT
    
  3. GKE を実行しているプロジェクトで Container Security API を有効にします。GKE_PROJECT は、適切な Google Cloud プロジェクト ID に置き換えます。

    gcloud services enable containersecurity.googleapis.com \
         --project=GKE_PROJECT
    

ソフトウェア デリバリー シールド パネルと Google Cloud コンソールの GKE セキュリティ体制ダッシュボードで分析情報を生成して表示するために必要な最小 API が有効になっています。

他のサービスの API は、API ライブラリまたは gcloud services enable コマンドを使用して有効にできます。

次のステップ