Este documento descreve como ativar as APIs para o Software Delivery Shield. O Software Delivery Shield é uma solução de segurança totalmente gerenciada da cadeia de suprimentos de software no Google Cloud.
Para coletar e conferir insights da cadeia de suprimentos de software, ative as seguintes APIs:
- a API Artifact Analysis para armazenar metadados que outros os serviços do Google Cloud geram e usam.
- Use a API Container Scanning para verificar vulnerabilidades e outros metadados em imagens de contêiner armazenadas no Artifact Registry. A ativação dessa API ativa automaticamente a API Artifact Analysis.
- Artifact Registry para armazenar artefatos de build. 1
- O Cloud Build gera metadados de procedência do build.
- (Somente GKE) API Container Security para verificar vulnerabilidades do SO em cargas de trabalho em execução.
É necessário executar a API Container Scanning no mesmo projeto do Google Cloud que o Artifact Registry. É possível executar outros serviços do Google Cloud que usam o registro em projetos separados.
1 O Container Registry é ativado automaticamente pela API Container Scanning. O Software Delivery Shield fornece dados limitados para recursos existentes e não é compatível com alguns recursos na visualização particular. Se você estiver usando o Container Registry, considere fazer a transição para o Artifact Registry.
Ativar as APIs necessárias para insights
Para ativar as APIs necessárias para gerar e conferir insights:
Console
Usar todos os serviços no mesmo projeto
Ative as APIs necessárias juntas.
Usar projetos separados
Ative o Container Scanning e o Artifact Registry no projeto em que você quer executar o Artifact Registry.
Ative a API Cloud Build nos projetos em que você está executando o Cloud Build.
Ative a API Container Security nos projetos em que você está executando o GKE.
Google Cloud CLI
Usar todos os serviços no mesmo projeto
Ative as APIs necessárias juntas.
gcloud services enable containerscanning.googleapis.com \
cloudbuild.googleapis.com \
artifactregistry.googleapis.com \
containersecurity.googleapis.com
Usar projetos separados
Ative o Container Scanning e o Artifact Registry no projeto em questão para executar o Artifact Registry. Substituir
AR_PROJECTpor o ID do projeto apropriado do Google Cloud.gcloud services enable containerscanning.googleapis.com \ artifactregistry.googleapis.com \ --project=AR_PROJECTAtive a API Cloud Build nos projetos em que você está executando o Cloud Build. Substituir
BUILD_PROJECTpor o ID do projeto apropriado do Google Cloud.gcloud services enable cloudbuild.googleapis.com \ --project=BUILD_PROJECTAtive a API Container Security nos projetos em que você está executando o GKE. Substituir
GKE_PROJECTpor o ID do projeto apropriado do Google Cloud.gcloud services enable containersecurity.googleapis.com \ --project=GKE_PROJECT
Você ativou as APIs mínimas necessárias para gerar e conferir insights nos painéis do Software Delivery Shield e no painel de postura de segurança do GKE no console do Google Cloud.
É possível ativar APIs para outros serviços na biblioteca de APIs ou com o comando gcloud services enable.
A seguir
- Saiba mais sobre as permissões do IAM. necessárias para acessar os insights de segurança do Software Delivery Shield.
- Saiba mais sobre os serviços do Software Delivery Shield na visão geral.
- Saiba mais sobre as práticas de segurança da cadeia de suprimentos de software e como o Software Delivery Shield pode ajudar na implementação.