이 문서에서는 Software Delivery Shield의 API 사용 설정 방법을 설명합니다. Software Delivery Shield는 Google Cloud에서 사용되는 완전 관리형 소프트웨어 공급망 보안 솔루션입니다.
소프트웨어 공급망 통계를 수집하고 확인하려면 다음 API를 사용 설정해야 합니다.
- 다른 Google Cloud 서비스에서 생성 및 사용하는 메타데이터를 저장하는 Artifact Analysis API
- Artifact Registry에 저장된 컨테이너 이미지를 검사하여 취약점 및 기타 메타데이터를 스캔하는 Container Scanning API. 이 API를 사용 설정하면 Artifact Analysis API가 자동으로 사용 설정됩니다.
- 빌드 아티팩트를 저장할 Artifact Registry 1
- 빌드 출처 기록 메타데이터를 생성하는 Cloud Build입니다.
- (GKE만 해당) 실행 중인 워크로드에서 OS 취약점을 스캔하는 Container Security API.
Artifact Registry와 동일한 Google Cloud 프로젝트에서 Container Scanning API를 실행해야 합니다. 개별 프로젝트의 레지스트리를 사용하는 다른 Google Cloud 서비스를 실행할 수 있습니다.
1 Container Registry는 Container Scanning API에 의해 자동으로 사용 설정됩니다. Software Delivery Shield는 기존 기능에 대해 제한된 데이터를 제공하며 비공개 미리보기의 일부 기능을 지원하지 않습니다. 현재 Container Registry를 사용 중이면 Artifact Registry로 전환하는 것이 좋습니다.
통계에 필요한 API 사용 설정
통계를 생성하고 보는 데 필요한 API를 사용 설정하려면 다음 안내를 따르세요.
콘솔
동일한 프로젝트에서 모든 서비스 사용
필요한 API를 함께 사용 설정합니다.
개별 프로젝트 사용
Artifact Registry를 실행하려는 프로젝트에서 Container Scanning 및 Artifact Registry를 사용 설정합니다.
Cloud Build를 실행하려는 프로젝트에서 Cloud Build API를 사용 설정합니다.
GKE를 실행 중인 프로젝트에서 Container Security API를 사용 설정합니다.
Google Cloud CLI
동일한 프로젝트에서 모든 서비스 사용
필요한 API를 함께 사용 설정합니다.
gcloud services enable containerscanning.googleapis.com \
cloudbuild.googleapis.com \
artifactregistry.googleapis.com \
containersecurity.googleapis.com
개별 프로젝트 사용
Artifact Registry를 실행하려는 프로젝트에서 Container Scanning 및 Artifact Registry를 사용 설정합니다.
AR_PROJECT
를 적절한 Google Cloud 프로젝트 ID로 바꿉니다.gcloud services enable containerscanning.googleapis.com \ artifactregistry.googleapis.com \ --project=AR_PROJECT
Cloud Build를 실행하려는 프로젝트에서 Cloud Build API를 사용 설정합니다.
BUILD_PROJECT
를 적절한 Google Cloud 프로젝트 ID로 바꿉니다.gcloud services enable cloudbuild.googleapis.com \ --project=BUILD_PROJECT
GKE를 실행 중인 프로젝트에서 Container Security API를 사용 설정합니다.
GKE_PROJECT
를 적절한 Google Cloud 프로젝트 ID로 바꿉니다.gcloud services enable containersecurity.googleapis.com \ --project=GKE_PROJECT
Software Delivery Shield 패널과 Google Cloud 콘솔의 GKE 보안 상태 대시보드에서 통계를 생성하고 보려면 최소 필수 API를 사용 설정해야 합니다.
API 라이브러리의 다른 서비스에 대해 또는 gcloud services enable 명령어를 사용해서 API를 사용 설정할 수 있습니다.
다음 단계
- Software Delivery Shield 보안 통계를 보는 데 필요한 IAM 권한 알아보기
- 개요에서 Software Delivery Shield 서비스에 대해 자세히 알아보기
- 소프트웨어 공급망 보안 권장사항 및 Software Delivery Shield를 통해 이를 시행하는 방법 알아보기