In diesem Dokument wird beschrieben, wie Sie APIs für Produkte und Funktionen aktivieren, die zum Schutz Ihrer Software-Lieferkette beitragen.
Wenn Sie Statistiken zur Softwarelieferkette erfassen und ansehen möchten, müssen Sie die folgenden APIs aktivieren:
- Artifact Analysis API zum Speichern von Metadaten, die von anderen Google Cloud Diensten generiert und verwendet werden.
- Container Scanning API zum Scannen von Container-Images, die in Artifact Registry gespeichert sind, auf Sicherheitslücken und andere Metadaten. Wenn Sie diese API aktivieren, wird die Artefaktanalyse API automatisch aktiviert.
- Artifact Registry zum Speichern Ihrer Build-Artefakte.
- Cloud Build zum Generieren von Metadaten zur Build-Herkunft.
- (Nur GKE) Container Security API zum Scannen von ausgeführten Arbeitslasten auf Betriebssystem-Sicherheitslücken.
Sie müssen die Container Scanning API im selben Google Cloud Projekt wie Artifact Registry ausführen. Sie können andere Google Cloud Dienste, die die Registry verwenden, in separaten Projekten ausführen.
Für Statistiken erforderliche APIs aktivieren
So aktivieren Sie die APIs, die zum Generieren und Aufrufen von Statistiken erforderlich sind:
Console
Alle Dienste im selben Projekt verwenden
Aktivieren Sie die erforderlichen APIs zusammen.
Rollen, die zum Aktivieren von APIs erforderlich sind
Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“
(roles/serviceusage.serviceUsageAdmin), die
die Berechtigung serviceusage.services.enable enthält. Informationen zum Zuweisen von
Rollen.
Separate Projekte verwenden
Aktivieren Sie das Scannen von Containern und Artifact Registry in dem Projekt, in dem Sie Artifact Registry ausführen möchten.
Rollen, die zum Aktivieren von APIs erforderlich sind
Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (
roles/serviceusage.serviceUsageAdmin), die die Berechtigungserviceusage.services.enableenthält. Informationen zum Zuweisen von Rollen.Aktivieren Sie die Cloud Build API in Projekten, in denen Sie Cloud Build ausführen.
Aktivieren Sie die Container Security API in Projekten, in denen Sie GKE ausführen.
Google Cloud CLI
Alle Dienste im selben Projekt verwenden
Aktivieren Sie die erforderlichen APIs zusammen.
gcloud services enable containerscanning.googleapis.com \
cloudbuild.googleapis.com \
artifactregistry.googleapis.com \
containersecurity.googleapis.com
Separate Projekte verwenden
Aktivieren Sie das Scannen von Containern und Artifact Registry in dem Projekt, in dem Sie Artifact Registry ausführen möchten. Ersetzen Sie
AR_PROJECTdurch die entsprechende Google Cloud Projekt-ID.gcloud services enable containerscanning.googleapis.com \ artifactregistry.googleapis.com \ --project=AR_PROJECTAktivieren Sie die Cloud Build API in Projekten, in denen Sie Cloud Build ausführen. Ersetzen Sie
BUILD_PROJECTdurch die entsprechende Google Cloud Projekt-ID.gcloud services enable cloudbuild.googleapis.com \ --project=BUILD_PROJECTAktivieren Sie die Container Security API in Projekten, in denen Sie GKE ausführen. Ersetzen Sie
GKE_PROJECTdurch die entsprechende Google Cloud Projekt-ID.gcloud services enable containersecurity.googleapis.com \ --project=GKE_PROJECT
Sie haben die mindestens erforderlichen APIs aktiviert, um Statistiken in Google Cloud den Console-Panels und im GKE Sicherheitsstatus-Dashboard zu generieren und aufzurufen.
Sie können APIs für andere Dienste über die API Bibliothek oder mit dem Befehl gcloud services enable aktivieren.
Nächste Schritte
- Informationen zu den IAM-Berechtigungen die zum Aufrufen von Sicherheitsstatistiken erforderlich sind
- Weitere Informationen zur Sicherheit der Softwarelieferkette in der Übersicht
- Informationen zu Best Practices für die Sicherheit der Softwarelieferkette und wie Google Cloud Produkte Sie bei der Implementierung unterstützen