サービスを有効化する

このドキュメントでは、ソフトウェア サプライ チェーンの保護に役立つプロダクトと機能の API を有効にする方法について説明します。

ソフトウェア サプライ チェーンの分析情報を収集して表示するには、次の API を有効にする必要があります。

  • Artifact Analysis API。他のGoogle Cloud サービスが生成して使用するメタデータを保存します。
  • Container Scanning API。Artifact Registry に保存されているコンテナ イメージの脆弱性や他のメタデータをスキャンします。この API を有効にすると、Artifact Analysis API が自動的に有効になります。
  • ビルド アーティファクトを格納する Artifact Registry。
  • ビルドの来歴メタデータを生成する Cloud Build。
  • (GKE のみ)実行中のワークロードで OS の脆弱性をスキャンする Container Security API。

Container Scanning API は、Artifact Registry と同じ Google Cloudプロジェクトで実行する必要があります。レジストリを使用する他の Google Cloud サービスを個別のプロジェクトで実行できます。

分析情報に必要な API を有効にする

分析情報を生成して表示するために必要な API を有効にするには:

コンソール

同じプロジェクト内のすべてのサービスを使用する

必要な API をまとめて有効にします。

API を有効にするために必要なロール

API を有効にするには、serviceusage.services.enable 権限を含む Service Usage 管理者 IAM ロール(roles/serviceusage.serviceUsageAdmin)が必要です。詳しくは、ロールを付与する方法をご覧ください。

API を有効にする

個別のプロジェクトを使用する

  1. Artifact Registry を実行するプロジェクトで Container Scanning と Artifact Registry を有効にします。

    API を有効にするために必要なロール

    API を有効にするには、serviceusage.services.enable 権限を含む Service Usage 管理者 IAM ロール(roles/serviceusage.serviceUsageAdmin)が必要です。詳しくは、ロールを付与する方法をご覧ください。

    API を有効にする

  2. Cloud Build を実行しているプロジェクトで Cloud Build API を有効にします。

    Cloud Build を有効にする

  3. GKE を実行しているプロジェクトで Container Security API を有効にします。

    Container Security を有効にする

Google Cloud CLI

同じプロジェクト内のすべてのサービスを使用する

必要な API をまとめて有効にします。

gcloud services enable containerscanning.googleapis.com \
    cloudbuild.googleapis.com \
    artifactregistry.googleapis.com \
    containersecurity.googleapis.com

個別のプロジェクトを使用する

  1. Artifact Registry を実行するプロジェクトで Container Scanning と Artifact Registry を有効にします。AR_PROJECT は、適切な Google Cloud プロジェクト ID に置き換えます。

    gcloud services enable containerscanning.googleapis.com \
    artifactregistry.googleapis.com \
    --project=AR_PROJECT

  2. Cloud Build を実行するプロジェクトで Cloud Build API を有効にします。BUILD_PROJECT は、適切な Google Cloud プロジェクト ID に置き換えます。

    gcloud services enable cloudbuild.googleapis.com \
    --project=BUILD_PROJECT

  3. GKE を実行しているプロジェクトで Container Security API を有効にします。GKE_PROJECT は、適切な Google Cloud プロジェクト ID に置き換えます。

    gcloud services enable containersecurity.googleapis.com \
     --project=GKE_PROJECT

Google Cloud コンソール パネルと GKE セキュリティ体制ダッシュボードで分析情報を生成して表示するために必要な最小 API が有効になっています。

他のサービスの API は、API ライブラリまたは gcloud services enable コマンドを使用して有効にできます。

次のステップ