Neste documento, descrevemos como ativar APIs para produtos e recursos que ajudam a proteger sua cadeia de suprimentos de software.
Para coletar e visualizar insights da cadeia de suprimentos de software, ative as seguintes APIs:
- API Artifact Analysis para armazenar metadados que outros Google Cloud serviços geram e usam.
- API Container Scanning para verificar vulnerabilidades e outros metadados em imagens de contêiner armazenadas no Artifact Registry. A ativação dessa API ativa automaticamente a API Artifact Analysis.
- Artifact Registry para armazenar seus artefatos de build.
- Cloud Build para gerar metadados de procedência do build.
- (Somente GKE) API Container Security para verificar vulnerabilidades do SO em cargas de trabalho em execução.
É necessário executar a API Container Scanning no mesmo Google Cloud projeto do Artifact Registry. Você pode executar outros Google Cloud serviços que usam o registro em projetos separados.
Ativar as APIs necessárias para insights
Para ativar as APIs necessárias para gerar e visualizar insights:
Console
Usar todos os serviços no mesmo projeto
Ative as APIs necessárias juntas.
Funções necessárias para ativar APIs
Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder
papéis.
Usar projetos separados
Ative o Container Scanning e o Artifact Registry no projeto em que você quer executar o Artifact Registry.
Funções necessárias para ativar APIs
Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (
roles/serviceusage.serviceUsageAdmin), que contém a permissãoserviceusage.services.enable. Saiba como conceder papéis.Ative a API Cloud Build em projetos em que você está executando o Cloud Build.
Ative a API Container Security em projetos em que você está executando o GKE.
Google Cloud CLI
Usar todos os serviços no mesmo projeto
Ative as APIs necessárias juntas.
gcloud services enable containerscanning.googleapis.com \
cloudbuild.googleapis.com \
artifactregistry.googleapis.com \
containersecurity.googleapis.com
Usar projetos separados
Ative o Container Scanning e o Artifact Registry no projeto em que você quer executar o Artifact Registry. Substitua
AR_PROJECTpor o ID do projeto adequado Google Cloud .gcloud services enable containerscanning.googleapis.com \ artifactregistry.googleapis.com \ --project=AR_PROJECTAtive a API Cloud Build em projetos em que você está executando o Cloud Build. Substitua
BUILD_PROJECTpor o ID do projeto adequado Google Cloud .gcloud services enable cloudbuild.googleapis.com \ --project=BUILD_PROJECTAtive a API Container Security em projetos em que você está executando o GKE. Substitua
GKE_PROJECTpor o ID do projeto adequado Google Cloud .gcloud services enable containersecurity.googleapis.com \ --project=GKE_PROJECT
Você ativou as APIs mínimas necessárias para gerar e visualizar insights em Google Cloud painéis do console e no painéis de postura de segurança do GKE.
É possível ativar APIs para outros serviços na biblioteca de APIs ou com o comando gcloud services enable.
A seguir
- Saiba mais sobre as permissões do IAM necessárias para visualizar insights de segurança.
- Saiba mais sobre a segurança da cadeia de suprimentos de software na visão geral.
- Saiba mais sobre as práticas de segurança da cadeia de suprimentos de software e como os Google Cloud produtos ajudam a implementá-las.