Connettersi a Secure Source Manager

Questa pagina descrive come creare connessioni a Secure Source Manager e collegarsi ai repository Secure Source Manager. Questa integrazione ti consente di utilizzare le funzionalità di Developer Connect, come le visualizzazioni della dashboard dei tuoi repository Secure Source Manager, e di utilizzare il proxy Developer Connect per eseguire operazioni git, come operazioni di lettura sicure.

Prima di iniziare

  1. Accedi al tuo Account Google.

    Se non ne hai già uno, registrati per creare un nuovo account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Developer Connect API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Developer Connect API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.
  8. (Facoltativo) Crea una chiave di crittografia gestita dal cliente (CMEK) per criptare i secret di autenticazione creati da Developer Connect.
  9. (Facoltativo) Per utilizzare le istruzioni della riga di comando in questa guida, completa i seguenti passaggi:
    1. Installa Google Cloud CLI. Se hai già installato gcloud CLI, assicurati di avere l'ultima versione disponibile eseguendo gcloud components update.
    2. Crea un service account Developer Connect eseguendo questo comando, dove PROJECT_ID è il tuo Google Cloud ID progetto: 
              gcloud beta services identity create \
            --service=developerconnect.googleapis.com \
            --project=PROJECT_ID

Requisiti di Secure Source Manager

  • Assicurati di avere un'istanza Secure Source Manager operativa di cui è stato eseguito il deployment in una regione Google Cloud .
  • La connessione Developer Connect e l'istanza Secure Source Manager devono trovarsi nella stessa regione.
  • Concedi all'agente di servizio Developer Connect (P4SA) il ruolo roles/securesourcemanager.developerConnectLinker nel progetto dell'istanza Secure Source Manager.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare connessioni e link, chiedi all'amministratore di concederti i seguenti ruoli IAM:

  • Per creare una connessione e collegarla a un repository: Amministratore Developer Connect (roles/developerconnect.admin) nel progetto in cui vuoi creare risorse Developer Connect.
  • Per concedere le autorizzazioni al service agent Developer Connect: Project IAM Admin (roles/resourcemanager.projectIamAdmin) sul progetto in cui è in esecuzione Secure Source Manager.

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Crea una connessione

Questa sezione descrive come creare una connessione tra Developer Connect e Secure Source Manager. Se utilizzi la console Google Cloud , puoi anche iniziare ad aggiungere link ai repository al termine della configurazione della connessione.

Per creare una nuova connessione Secure Source Manager, seleziona una delle seguenti opzioni:

Console

  1. Nella console Google Cloud , apri Developer Connect.

    Vai a Developer Connect

  2. Fai clic su Crea connessione.

  3. Seleziona Secure Source Manager come fornitore dell'origine.

  4. In Regione, scegli una regione per la connessione. Deve trovarsi nella stessa regione dell'istanza Secure Source Manager.

  5. In Nome, inserisci un nome per la connessione.

  6. Nell'elenco Istanza, seleziona un'istanza.

  7. Fai clic su Mostra altro per visualizzare le impostazioni di configurazione facoltative.

  8. (Facoltativo) Per disattivare il proxy Developer Connect, deseleziona la casella di controllo Abilita proxy Developer Connect.

  9. Fai clic su Continua.

  10. Puoi collegarti ai repository ora o farlo in un secondo momento modificando la connessione. Per collegarti ai repository, selezionali dall'elenco.

  11. Fai clic su Collega.

Developer Connect crea i link ai repository e li visualizza nella console Google Cloud .

gcloud

Per creare una connessione Developer Connect con Google Cloud CLI, esegui questo comando:

gcloud developer-connect connections create CONNECTION_ID \
  --location=REGION \
  --project=CONNECTION_PROJECT_ID \
  --secure-source-manager-instance-config=projects/INSTANCE_PROJECT_ID/locations/REGION/instances/INSTANCE_ID

Dove:

  • CONNECTION_ID è l'ID della connessione Developer Connect che vuoi creare.
  • REGION è la regione per la connessione. Deve trovarsi nella stessa regione dell'istanza Secure Source Manager.
  • CONNECTION_PROJECT_ID è l'ID del progetto Google Cloud in cui vuoi creare la connessione.
  • INSTANCE_PROJECT_ID è l'ID del progetto Google Cloud in cui si trova l'istanza Secure Source Manager.
  • INSTANCE_ID è l'ID dell'istanza Secure Source Manager.

curl

Per creare una connessione Developer Connect con curl, effettua la seguente chiamata API:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
https://developerconnect.googleapis.com/v1/projects/CONNECTION_PROJECT_ID/locations/REGION/connections?connection_id=CONNECTION_ID \
-X POST -H "Content-Type: application/json" \
-d '{"secure_source_manager_instance_config":{"instance":"projects/INSTANCE_PROJECT_ID/locations/REGION/instances/INSTANCE_ID"}}'

Dove:

  • CONNECTION_ID è l'ID della connessione Developer Connect che vuoi creare.
  • REGION è la regione per la connessione. Deve trovarsi nella stessa regione dell'istanza Secure Source Manager.
  • CONNECTION_PROJECT_ID è l'ID del progetto Google Cloud in cui vuoi creare la connessione.
  • INSTANCE_PROJECT_ID è l'ID del progetto Google Cloud in cui si trova l'istanza Secure Source Manager.
  • INSTANCE_ID è l'ID dell'istanza Secure Source Manager.

Una volta stabilita una connessione a Secure Source Manager, puoi collegarti ai repository. Puoi ripetere questi passaggi in un secondo momento per collegare altri repository in base alle tue esigenze.

Per creare link ai repository in una connessione Secure Source Manager esistente, seleziona una delle seguenti opzioni:

Console

  1. Apri la pagina Repository nella console Google Cloud .

    Apri la pagina Repository

  2. Fai clic su Collega repository.

    Si apre il riquadro Collega repository Git.

  3. Nell'elenco delle connessioni, scegli la connessione Secure Source Manager.

  4. Fai clic su Continua.

  5. Nell'elenco dei repository, seleziona quelli a cui vuoi collegarti.

  6. Fai clic su Crea.

Developer Connect crea i link ai repository e li visualizza nella console Google Cloud .

gcloud

Per saperne di più sulla gestione dei link ai repository Git con gcloud, consulta gcloud developer-connect connections git-repository-links.

Utilizzare il proxy Developer Connect in Cloud Build

Per utilizzare il proxy Developer Connect in Cloud Build, segui questi passaggi:

  1. Concedi al service agent Secure Source Manager il ruolo roles/developerconnect.viewer o qualsiasi ruolo con l'autorizzazione developerconnect.gitRepositoryLinks.get nel progetto Developer Connect.
  2. Collega il repository Secure Source Manager a un Developer Connect gitRepositoryLink. Per istruzioni, consulta Collegare un repository Secure Source Manager.

  3. Nel file .cloudbuild/trigger.yaml nella directory root del repository, aggiungi una nuova voce che rimandi alla risorsa gitRepositoryLink di destinazione.

    Ad esempio:

    triggers:
- name: test-trigger
  project: my-project
  configFilePath: cloudbuild.yaml
  eventType: push
  serviceAccount: projects/my-project/serviceAccounts/my-sa@my-project.iam.gserviceaccount.com
  devConnectGitRepositoryLink: projects/my-project/locations/us-central1/connections/my-ssm-connection/gitRepositoryLinks/my-repo-link

Ambito operativo e limitazioni

Dopo aver configurato la connessione, puoi eseguire operazioni di lettura sicure git, come un clone, sulle istanze Secure Source Manager utilizzando l'URI proxy di Developer Connect.

Il proxy Developer Connect non supporta le operazioni git push. Il sistema impedisce le operazioni di scrittura che utilizzano l'identità del P4SA DevConnect.

Puoi aggiornare altre configurazioni della connessione, ad esempio per attivare o disattivare il proxy Developer Connect, ma non puoi indirizzare la connessione esistente a un'altra istanza Secure Source Manager.

Passaggi successivi