Mit Secure Source Manager verbinden

Auf dieser Seite wird beschrieben, wie Sie Verbindungen zu Secure Source Manager erstellen und eine Verknüpfung zu Secure Source Manager-Repositories herstellen. Mit dieser Integration können Sie Developer Connect-Funktionen wie Dashboardansichten Ihrer Secure Source Manager-Repositories und den Developer Connect-Proxy für git-Vorgänge wie sichere Lesevorgänge verwenden.

Hinweis

  1. Melden Sie sich in Ihrem Google-Konto an.

    Wenn Sie noch kein Konto haben, melden Sie sich hier für ein neues Konto an.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Developer Connect API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Developer Connect API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.
  8. Optional: Erstellen Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK) zum Verschlüsseln der Authentifizierungs-Secrets, die von Developer Connect erstellt werden.
  9. Optional: Wenn Sie die Befehlszeilenanleitung in diesem Leitfaden verwenden möchten, führen Sie die folgenden Schritte aus:
    1. Installieren Sie die Google Cloud CLI. Wenn Sie die gcloud CLI bereits installiert haben, prüfen Sie, ob Sie die neueste verfügbare Version haben. Führen Sie dazu den Befehl gcloud components update aus.
    2. Erstellen Sie ein Developer Connect-Dienstkonto, indem Sie den folgenden Befehl ausführen. Dabei ist PROJECT_ID Ihre Google Cloud Projekt-ID: 
              gcloud beta services identity create \
            --service=developerconnect.googleapis.com \
            --project=PROJECT_ID

Anforderungen an Secure Source Manager

  • Sie benötigen eine betriebsbereite Secure Source Manager-Instanz, die in einer Google Cloud Region bereitgestellt wird.
  • Die Developer Connect-Verbindung und die Secure Source Manager-Instanz müssen sich in derselben Region befinden.
  • Weisen Sie dem Developer Connect-Dienst-Agent (P4SA) die Rolle roles/securesourcemanager.developerConnectLinker im Projekt der Secure Source Manager-Instanz zu.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Verbindungen und Links benötigen:

  • So erstellen Sie eine Verbindung und verknüpfen sie mit einem Repository: Developer Connect-Administrator (roles/developerconnect.admin) für das Projekt, in dem Sie Developer Connect-Ressourcen erstellen möchten.
  • So erteilen Sie Berechtigungen für den Developer Connect-Dienst-Agent: Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin) für das Projekt, in dem Secure Source Manager ausgeführt wird.

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Verbindung herstellen

In diesem Abschnitt wird beschrieben, wie Sie eine Verbindung zwischen Developer Connect und Secure Source Manager herstellen. Wenn Sie die Google Cloud -Konsole verwenden, können Sie auch Links zu Repositories hinzufügen, sobald Sie die Einrichtung Ihrer Verbindung abgeschlossen haben.

Wählen Sie eine der folgenden Optionen aus, um eine neue Secure Source Manager-Verbindung zu erstellen:

Console

  1. Öffnen Sie in der Google Cloud Console Developer Connect.

    Zu Developer Connect

  2. Klicken Sie auf Verbindung erstellen.

  3. Wählen Sie Secure Source Manager als Quellanbieter aus.

  4. Wählen Sie unter Region eine Region für die Verbindung aus. Dies muss dieselbe Region wie Ihre Secure Source Manager-Instanz sein.

  5. Geben Sie unter Name einen Namen für die Verbindung ein.

  6. Wählen Sie in der Liste Instanz eine Instanz aus.

  7. Klicken Sie auf Mehr anzeigen, um optionale Konfigurationseinstellungen aufzurufen.

  8. Optional: Wenn Sie den Developer Connect-Proxy deaktivieren möchten, entfernen Sie das Häkchen aus dem Kästchen Developer Connect-Proxy aktivieren.

  9. Klicken Sie auf Weiter.

  10. Sie können jetzt eine Verknüpfung zu Repositories herstellen oder dies später tun, indem Sie die Verbindung bearbeiten. Wenn Sie auf Repositories verweisen möchten, wählen Sie sie in der Liste aus.

  11. Klicken Sie auf Verknüpfen.

Developer Connect erstellt die Repository-Links und zeigt sie in der Google Cloud Konsole an.

gcloud

Führen Sie den folgenden Befehl aus, um eine Developer Connect-Verbindung mit der Google Cloud CLI zu erstellen:

gcloud developer-connect connections create CONNECTION_ID \
  --location=REGION \
  --project=CONNECTION_PROJECT_ID \
  --secure-source-manager-instance-config=projects/INSTANCE_PROJECT_ID/locations/REGION/instances/INSTANCE_ID

Wobei:

  • CONNECTION_ID ist die ID der Developer Connect-Verbindung, die Sie erstellen möchten.
  • REGION ist die Region für Ihre Verbindung. Dies muss dieselbe Region wie Ihre Secure Source Manager-Instanz sein.
  • CONNECTION_PROJECT_ID ist die ID des Google Cloud -Projekts, in dem Sie die Verbindung erstellen möchten.
  • INSTANCE_PROJECT_ID ist die ID des Google Cloud -Projekts, in dem sich Ihre Secure Source Manager-Instanz befindet.
  • INSTANCE_ID ist die ID Ihrer Secure Source Manager-Instanz.

curl

So erstellen Sie eine Developer Connect-Verbindung mit curl:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
https://developerconnect.googleapis.com/v1/projects/CONNECTION_PROJECT_ID/locations/REGION/connections?connection_id=CONNECTION_ID \
-X POST -H "Content-Type: application/json" \
-d '{"secure_source_manager_instance_config":{"instance":"projects/INSTANCE_PROJECT_ID/locations/REGION/instances/INSTANCE_ID"}}'

Wobei:

  • CONNECTION_ID ist die ID der Developer Connect-Verbindung, die Sie erstellen möchten.
  • REGION ist die Region für Ihre Verbindung. Dies muss dieselbe Region wie Ihre Secure Source Manager-Instanz sein.
  • CONNECTION_PROJECT_ID ist die ID des Google Cloud -Projekts, in dem Sie die Verbindung erstellen möchten.
  • INSTANCE_PROJECT_ID ist die ID des Google Cloud -Projekts, in dem sich Ihre Secure Source Manager-Instanz befindet.
  • INSTANCE_ID ist die ID Ihrer Secure Source Manager-Instanz.

Sobald Sie eine Verbindung zu Secure Source Manager hergestellt haben, können Sie eine Verknüpfung zu Repositories herstellen. Sie können diese Schritte später wiederholen, um bei Bedarf weitere Repositories zu verknüpfen.

Wenn Sie Repository-Links für eine vorhandene Secure Source Manager-Verbindung erstellen möchten, wählen Sie eine der folgenden Optionen aus:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Repositories.

    Öffnen Sie die Seite Repositories.

  2. Klicken Sie auf Repository verknüpfen.

    Der Bereich Git-Repositories verknüpfen wird geöffnet.

  3. Wählen Sie in der Liste der Verbindungen Ihre Secure Source Manager-Verbindung aus.

  4. Klicken Sie auf Weiter.

  5. Wählen Sie in der Repository-Liste die Repositories aus, mit denen Sie eine Verknüpfung herstellen möchten.

  6. Klicken Sie auf Erstellen.

Developer Connect erstellt die Repository-Links und zeigt sie in der Google Cloud Konsole an.

gcloud

Weitere Informationen zum Verwalten von Git-Repository-Links mit gcloud finden Sie unter gcloud developer-connect connections git-repository-links.

Developer Connect-Proxy in Cloud Build verwenden

So verwenden Sie den Developer Connect-Proxy in Cloud Build:

  1. Weisen Sie dem Secure Source Manager-Dienst-Agent im Developer Connect-Projekt die Rolle roles/developerconnect.viewer oder eine beliebige Rolle mit der Berechtigung developerconnect.gitRepositoryLinks.get zu.
  2. Verknüpfen Sie Ihr Secure Source Manager-Repository mit einem Developer Connect-gitRepositoryLink. Eine Anleitung finden Sie unter Mit einem Secure Source Manager-Repository verknüpfen.

  3. Fügen Sie in der Datei .cloudbuild/trigger.yaml im Stammverzeichnis Ihres Repositorys einen neuen Eintrag hinzu, der auf die Zielressource gitRepositoryLink verweist.

    Beispiel:

    triggers:
- name: test-trigger
  project: my-project
  configFilePath: cloudbuild.yaml
  eventType: push
  serviceAccount: projects/my-project/serviceAccounts/my-sa@my-project.iam.gserviceaccount.com
  devConnectGitRepositoryLink: projects/my-project/locations/us-central1/connections/my-ssm-connection/gitRepositoryLinks/my-repo-link

Betrieblicher Umfang und Einschränkungen

Nachdem Sie die Verbindung konfiguriert haben, können Sie sichere git-Leseoperationen wie clone für Secure Source Manager-Instanzen mit dem Developer Connect-Proxy-URI ausführen.

Der Developer Connect-Proxy unterstützt keine git push-Vorgänge. Das System verhindert Schreibvorgänge, bei denen die Identität des DevConnect-P4SA verwendet wird.

Sie können andere Konfigurationen der Verbindung aktualisieren, z. B. den Developer Connect-Proxy aktivieren oder deaktivieren, aber Sie können die vorhandene Verbindung nicht auf eine andere Secure Source Manager-Instanz verweisen.

Nächste Schritte