En este documento, se describe cómo habilitar las APIs de productos y funciones que ayudan a proteger tu cadena de suministro de software.
Para recopilar y ver estadísticas de la cadena de suministro de software, debes habilitar las siguientes APIs:
- API de Artifact Analysis para almacenar metadatos que otros Google Cloud servicios generan y usan
- API de Container Scanning para analizar imágenes de contenedores almacenadas en Artifact Registry en busca de vulnerabilidades y otros metadatos Habilitar esta API habilita de forma automática la API de Artifact Analysis
- Artifact Registry para almacenar tus artefactos de compilación
- Cloud Build para generar metadatos de procedencia de compilación
- (Solo GKE) API de seguridad de contenedores para analizar cargas de trabajo en ejecución en busca de vulnerabilidades del SO
Debes ejecutar la API de Container Scanning en el mismo Google Cloud proyecto que Artifact Registry. Puedes ejecutar otros Google Cloud servicios que usan el registro en proyectos separados.
Habilita las APIs necesarias para las estadísticas
Para habilitar las APIs necesarias para generar y ver estadísticas, haz lo siguiente:
Console
Usa todos los servicios en el mismo proyecto
Habilita las APIs necesarias juntas.
Roles necesarios para habilitar las APIs
Para habilitar las APIs, necesitas el rol de IAM de administrador de Service Usage (roles/serviceusage.serviceUsageAdmin), que contiene el permiso serviceusage.services.enable. Obtén más información para otorgar
roles.
Usa proyectos separados
Habilita Container Scanning y Artifact Registry en el proyecto en el que deseas ejecutar Artifact Registry.
Roles necesarios para habilitar las APIs
Para habilitar las APIs, necesitas el rol de IAM de administrador de Service Usage (
roles/serviceusage.serviceUsageAdmin), que contiene el permisoserviceusage.services.enable. Obtén más información para otorgar roles.Habilita la API de Cloud Build en los proyectos en los que ejecutas Cloud Build.
Habilita la API de seguridad de contenedores en los proyectos en los que ejecutas GKE.
Google Cloud CLI
Usa todos los servicios en el mismo proyecto
Habilita las APIs necesarias juntas.
gcloud services enable containerscanning.googleapis.com \
cloudbuild.googleapis.com \
artifactregistry.googleapis.com \
containersecurity.googleapis.com
Usa proyectos separados
Habilita Container Scanning y Artifact Registry en el proyecto en el que deseas ejecutar Artifact Registry. Reemplaza
AR_PROJECTpor el ID del proyecto adecuado. Google Cloudgcloud services enable containerscanning.googleapis.com \ artifactregistry.googleapis.com \ --project=AR_PROJECTHabilita la API de Cloud Build en los proyectos en los que ejecutas Cloud Build. Reemplaza
BUILD_PROJECTpor el ID del proyecto adecuado Google Cloud .gcloud services enable cloudbuild.googleapis.com \ --project=BUILD_PROJECTHabilita la API de seguridad de contenedores en los proyectos en los que ejecutas GKE. Reemplaza
GKE_PROJECTpor el ID del proyecto adecuado. Google Cloudgcloud services enable containersecurity.googleapis.com \ --project=GKE_PROJECT
Habilitaste las APIs mínimas necesarias para generar y ver estadísticas en Google Cloud los paneles de la consola y en el panel de postura de seguridad de GKE.
Puedes habilitar las APIs para otros servicios desde la biblioteca de APIs o con el comando gcloud services enable.
¿Qué sigue?
- Obtén información sobre los permisos de IAM necesarios para ver estadísticas de seguridad.
- Obtén más información sobre la seguridad de la cadena de suministro de software en la descripción general.
- Obtén información sobre las prácticas de seguridad de la cadena de suministro de software y cómo los Google Cloud productos te ayudan a implementarlas.