Software Delivery Shield を使ってみる

このドキュメントでは、Software Delivery Shield の API を有効にする方法と、セキュリティ分析情報を表示するために必要な権限について説明します。Software Delivery Shield は、Google Cloud 上のフルマネージド ソフトウェア サプライ チェーン セキュリティ ソリューションです。

分析情報に必要な API を有効にする

ソフトウェア サプライ チェーンの分析情報を収集して表示するには、次の API が必要です。

• 他の Google Cloud サービスが生成して使用するメタデータを格納する Container Analysis API。
• Container Scanning API を使用して、Artifact Registry に保存されているコンテナ イメージの脆弱性やその他のメタデータをスキャンします。この API を有効にすると、Container Analysis API が自動的に有効になります。
• ビルド アーティファクトを格納する Artifact Registry。¹
• ビルドの場所メタデータを生成する Cloud Build。
• （GKE のみ）実行中のワークロードで OS の脆弱性をスキャンするための Container Security API。

Container Scanning API は、Artifact Registry と同じ Google Cloud プロジェクトで実行する必要があります。レジストリを使用するほかの Google Cloud サービスを個別のプロジェクトで実行できます。

¹ Container Registry は、Container Scanning API によって自動的に有効になります。Software Delivery Shield は、既存の機能に関するデータが制限され、限定公開プレビューでは一部の機能をサポートしていません。 現在 Container Registry を使用している場合は、Artifact Registry への移行を検討してください。

分析情報の生成と表示に必要な API を有効にするには、次のようにします。

gcloud services enable containerscanning.googleapis.com \
    cloudbuild.googleapis.com \
    artifactregistry.googleapis.com \
    containersecurity.googleapis.com

Software Delivery Shield パネルと Google Cloud コンソールの GKE セキュリティ体制ダッシュボードで分析情報を生成して表示するために必要な最小 API が有効になっています。

他のサービスの API を有効にするには、API ライブラリまたは gcloud services enable コマンドを使用します。

分析情報の表示権限を付与する

Google Cloud コンソールで Software Delivery Shield のインサイトを表示するには、次のロールまたは同等の権限を持つロールが必要です。

• Cloud Build 閲覧者（roles/cloudbuild.builds.viewer）: ビルドの分析情報を表示します。
• Container Analysis 実行回数の閲覧者（roles/containeranalysis.occurrences.viewer）: 脆弱性、ビルド場所、その他の依存関係情報を表示します。
• Cloud Run 閲覧者（roles/run.viewer）: Cloud Run のリビジョンの分析情報を表示します。
• Kubernetes Engine Cluster 閲覧者（roles/container.clusterViewer）: GKE クラスタの分析情報を表示します。

これらの権限は分析情報へのアクセスを許可しますが、Cloud Build でビルドを実行するなどの他のアクションを実行する権限は付与しません。

• 特定のサービスに必要な権限の詳細については、そのサービスのドキュメントをご覧ください。
• 権限の付与については、プロジェクトに対する権限の付与に関する Identity and Access Management のドキュメントをご覧ください。

デフォルトでは、多くのサービスは同じプロジェクト内の他のサービスにデフォルトの権限を持っていますが、別のプロジェクトのリソースにはアクセスできません。別の Google Cloud プロジェクトでサービスを実行している場合、またはカスタム IAM ロールやカスタム サービス アカウントを使用している場合は、適切な権限を自分で付与する必要があります。

例 1

Cloud Build、Artifact Registry、Container Analysis、Cloud Run はすべて同じプロジェクトで実行されています。各サービスはデフォルトのサービス アカウントを使用してサービスの代理として動作し、デフォルトの権限は変更されません。どちらのサービスも権限を変更せずに連携しますが、プロジェクトで分析情報を表示する必要があるユーザーには権限を付与する必要があります。

サービス間の権限

変更不要です。

• デフォルトの Cloud Build サービス アカウントには、Artifact Registry を使用してアップロードおよびダウンロードする権限と、Container Analysis から分析情報データを読み取る権限があるため、サービスはビルドの場所を使用してコンテナ イメージに署名し、Artifact Registry に push できます。
• Cloud Run のリビジョンは、Compute Engine のデフォルトのサービス アカウントを使用します。このアカウントには、Artifact Registry からイメージをダウンロードし、Container Analysis からインサイト データを読み取る権限があります。

分析情報を閲覧するためのユーザー権限

分析情報を表示するには、Cloud Build と Cloud Run のユーザーに必要なロールを付与する必要があります。

例 2

Artifact Registry と Container Analysis が他の Google Cloud サービスとは別のプロジェクトで実行されている場合は、すべてのプロジェクト間のアクティビティに対する権限を明示的に付与する必要があります。次のプロジェクトの設定について考えてみます。

• プロジェクト A で Cloud Build を実行する
• Artifact Registry と Container Analysis をプロジェクト B で実行する
• Cloud Run をプロジェクト C で実行する

サービス間の権限

Cloud Build と Cloud Run は、これらのサービスの代理として機能するサービス アカウントに明示的にアクセス権を付与しない限り、他のプロジェクトのリソースにアクセスできません。アーティファクトとアーティファクト メタデータが保存されるプロジェクト B で、適切な Artifact Registry の権限と Container Analysis の権限を付与する必要があります。

Cloud Build の場合は、プロジェクト B で次のロールを付与する必要があります。

• Artifact Registry 書き込み（roles/artifactregistry.writer）は、アップロードとダウンロードを許可します。
• Container Analysis 実行回数の閲覧者（roles/containeranalysis.occurrences.viewer）は、分析情報を表示するための権限を付与します。

Cloud Run の場合、プロジェクト B で次のロールを付与する必要があります。

• Artifact Registry 読み取り（roles/artifactregistry.reader）は、デプロイ用にダウンロードするための権限を付与します。
• Container Analysis 実行回数の閲覧者（roles/containeranalysis.occurrences.viewer）は、分析情報を表示するための権限を付与します。

分析情報を閲覧するためのユーザー権限

プロジェクト B では、Cloud Build と Cloud Run のユーザーに必要なロールを使用して、分析情報を表示する必要があります。

次のステップ

• 概要で Software Delivery Shield サービスの詳細を確認する
• ソフトウェアのサプライ チェーンのセキュリティ プラクティスと Software Delivery Shield の実装方法について学習する。