Cette page explique comment créer des connexions à Secure Source Manager et comment associer des dépôts Secure Source Manager. Cette intégration vous permet d'utiliser les fonctionnalités de Developer Connect, telles que les vues de tableau de bord de vos dépôts Secure Source Manager, et d'utiliser le proxy Developer Connect pour effectuer des opérations git, telles que des opérations de lecture sécurisées.
Avant de commencer
-
Connectez-vous à votre compte Google.
Si vous n'en possédez pas déjà un, vous devez en créer un.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Developer Connect API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Developer Connect API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.- Facultatif : Créez une clé de chiffrement gérée par le client (CMEK) pour chiffrer les secrets d'authentification créés par Developer Connect.
- Facultatif : Pour utiliser les instructions de ligne de commande de ce guide, procédez comme suit :
- Installez la Google Cloud CLI. Si vous avez déjà installé la gcloud CLI, assurez-vous de disposer de la dernière version disponible en exécutant la commande
gcloud components update. - Créez un compte de service Developer Connect
en exécutant la commande suivante, où PROJECT_ID correspond à l'Google Cloud ID de votre projet :
gcloud beta services identity create \ --service=developerconnect.googleapis.com \ --project=PROJECT_ID
- Installez la Google Cloud CLI. Si vous avez déjà installé la gcloud CLI, assurez-vous de disposer de la dernière version disponible en exécutant la commande
Exigences de Secure Source Manager
- Assurez-vous qu'une instance Secure Source Manager opérationnelle est déployée dans une Google Cloud région.
- La connexion Developer Connect et l'instance Secure Source Manager doivent se trouver dans la même région.
- Accordez à l'agent de service Developer Connect (P4SA) le rôle
roles/securesourcemanager.developerConnectLinkerdans le projet de l'instance Secure Source Manager.
Rôles requis
Pour obtenir les autorisations nécessaires pour créer des connexions et des associations, demandez à votre administrateur de vous accorder les rôles IAM suivants :
-
Pour créer une connexion et l'associer à un dépôt :
Administrateur Developer Connect (
roles/developerconnect.admin) sur le projet dans lequel vous souhaitez créer des ressources Developer Connect. -
Pour accorder des autorisations à l'agent de service Developer Connect :
Administrateur IAM du projet (
roles/resourcemanager.projectIamAdmin) sur le projet dans lequel Secure Source Manager est exécuté.
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Créer une connexion
Cette section explique comment créer une connexion entre Developer Connect et Secure Source Manager. Si vous utilisez la Google Cloud console, vous pouvez également commencer à ajouter des associations à des dépôts lorsque vous avez terminé de configurer votre connexion.
Pour créer une connexion Secure Source Manager, sélectionnez l'une des options suivantes :
Console
Dans la Google Cloud console, ouvrez Developer Connect.
Cliquez sur Créer une connexion.
Sélectionnez Secure Source Manager comme fournisseur source.
Dans le champ Région, choisissez une région pour votre connexion. Il doit s'agir de la même région que celle de votre instance Secure Source Manager.
Dans le champ Nom, saisissez un nom pour votre connexion.
Dans la liste Instance, sélectionnez une instance.
Cliquez sur Afficher plus pour afficher les paramètres de configuration facultatifs.
Facultatif : Pour désactiver le proxy Developer Connect, décochez la case Activer le proxy Developer Connect.
Cliquez sur Continuer.
Vous pouvez associer des dépôts maintenant ou plus tard en modifiant la connexion. Pour associer des dépôts, sélectionnez-les dans la liste.
Cliquez sur Associer.
Developer Connect crée les associations de dépôt et les affiche dans la Google Cloud console.
gcloud
Pour créer une connexion Developer Connect avec la Google Cloud CLI, exécutez la commande suivante :
gcloud developer-connect connections create CONNECTION_ID \
--location=REGION \
--project=CONNECTION_PROJECT_ID \
--secure-source-manager-instance-config=projects/INSTANCE_PROJECT_ID/locations/REGION/instances/INSTANCE_ID
Où :
- CONNECTION_ID correspond à l'ID de la connexion Developer Connect que vous souhaitez créer.
- REGION correspond à la région de votre connexion. Il doit s'agir de la même région que celle de votre instance Secure Source Manager.
- CONNECTION_PROJECT_ID correspond à l'ID du Google Cloud projet dans lequel vous souhaitez créer votre connexion.
- INSTANCE_PROJECT_ID correspond à l'ID du Google Cloud projet dans lequel se trouve votre instance Secure Source Manager.
- INSTANCE_ID correspond à l'ID de votre instance Secure Source Manager.
curl
Pour créer une connexion Developer Connect avec curl, effectuez l'appel d'API suivant :
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
https://developerconnect.googleapis.com/v1/projects/CONNECTION_PROJECT_ID/locations/REGION/connections?connection_id=CONNECTION_ID \
-X POST -H "Content-Type: application/json" \
-d '{"secure_source_manager_instance_config":{"instance":"projects/INSTANCE_PROJECT_ID/locations/REGION/instances/INSTANCE_ID"}}'
Où :
- CONNECTION_ID correspond à l'ID de la connexion Developer Connect que vous souhaitez créer.
- REGION correspond à la région de votre connexion. Il doit s'agir de la même région que celle de votre instance Secure Source Manager.
- CONNECTION_PROJECT_ID correspond à l'ID du Google Cloud projet dans lequel vous souhaitez créer votre connexion.
- INSTANCE_PROJECT_ID correspond à l'ID du Google Cloud projet dans lequel se trouve votre instance Secure Source Manager.
- INSTANCE_ID correspond à l'ID de votre instance Secure Source Manager.
Ajouter des associations de dépôt à des connexions existantes
Une fois que vous avez établi une connexion à Secure Source Manager, vous pouvez associer des dépôts. Vous pouvez répéter ces étapes ultérieurement pour associer d'autres dépôts si nécessaire.
Pour créer des associations de dépôt sur une connexion Secure Source Manager existante, sélectionnez l'une des options suivantes :
Console
Ouvrez la page Dépôts dans la Google Cloud console.
Cliquez sur Associer un dépôt.
Le volet Associer des dépôts Git s'ouvre.
Dans la liste des connexions, choisissez votre connexion Secure Source Manager.
Cliquez sur Continuer.
Dans la liste des dépôts, sélectionnez ceux que vous souhaitez associer.
Cliquez sur Créer.
Developer Connect crée les associations de dépôt et les affiche dans la Google Cloud console.
gcloud
Pour en savoir plus sur la gestion des associations de dépôt Git avec gcloud, consultez
gcloud developer-connect connections git-repository-links.
Utiliser le proxy Developer Connect dans Cloud Build
Pour utiliser le proxy Developer Connect dans Cloud Build, procédez comme suit :
- Accordez à l'agent de service Secure Source Manager le rôle
roles/developerconnect.viewerou tout rôle disposant de l'autorisationdeveloperconnect.gitRepositoryLinks.getsur le projet Developer Connect. - Associez votre dépôt Secure Source Manager à un
gitRepositoryLinkDeveloper Connect. Pour obtenir des instructions, consultez Associer un dépôt Secure Source Manager. Dans le fichier
.cloudbuild/trigger.yamldu répertoire racine de votre dépôt, ajoutez une entrée pour pointer vers la ressourcegitRepositoryLinkcible.Exemple :
triggers: - name: test-trigger project: my-project configFilePath: cloudbuild.yaml eventType: push serviceAccount: projects/my-project/serviceAccounts/my-sa@my-project.iam.gserviceaccount.com devConnectGitRepositoryLink: projects/my-project/locations/us-central1/connections/my-ssm-connection/gitRepositoryLinks/my-repo-link
Champ d'application et limites opérationnels
Une fois la connexion configurée, vous pouvez effectuer des opérations de lecture git sécurisées, telles qu'un clone, sur les instances Secure Source Manager à l'aide de l'URI du proxy Developer Connect.
Le proxy Developer Connect n'est pas compatible avec les opérations git push. Le système empêche les opérations d'écriture qui utilisent l'identité du P4SA DevConnect.
Vous pouvez mettre à jour d'autres configurations de la connexion, par exemple pour activer ou désactiver le proxy Developer Connect, mais vous ne pouvez pas pointer la connexion existante vers une autre instance Secure Source Manager.
Étape suivante
- Découvrez Developer Connect.
- En savoir plus sur Secure Source Manager.