本文档介绍了如何为有助于保护软件供应链的产品和功能启用 API。
如需收集和查看软件供应链分析洞见,您必须启用以下 API:
- Artifact Analysis API,用于存储其他 Google Cloud 服务生成和使用的元数据。
- Container Scanning API,用于扫描存储在 Artifact Registry 中的容器映像以查找漏洞和其他元数据。启用此 API 会自动启用 Artifact Analysis API。
- Artifact Registry,用于存储构建工件。
- Cloud Build,用于生成构建出处元数据。
- (仅限 GKE)Container Security API,用于扫描正在运行的工作负载以查找操作系统漏洞。
您必须在与 Artifact Registry 相同的 Google Cloud 项目中运行 Container Scanning API。您可以在单独的项目中运行使用该注册表的其他 Google Cloud 服务。
启用生成分析洞见所需的 API
如需启用生成和查看分析洞见所需的 API,请执行以下操作:
控制台
在同一项目中使用所有服务
一起启用所需的 API。
启用 API 所需的角色
如需启用 API,您需要拥有 Service Usage Admin IAM 角色 (roles/serviceusage.serviceUsageAdmin),该角色包含 serviceusage.services.enable 权限。了解如何授予
角色。
使用单独的项目
在要运行 Artifact Registry 的项目中启用 Container Scanning 和 Artifact Registry。
启用 API 所需的角色
如需启用 API,您需要拥有 Service Usage Admin IAM 角色 (
roles/serviceusage.serviceUsageAdmin),该角色包含serviceusage.services.enable权限。了解如何授予 角色。在运行 Cloud Build 的项目中启用 Cloud Build API。
在运行 GKE 的项目中启用 Container Security API。
Google Cloud CLI
在同一项目中使用所有服务
一起启用所需的 API。
gcloud services enable containerscanning.googleapis.com \
cloudbuild.googleapis.com \
artifactregistry.googleapis.com \
containersecurity.googleapis.com
使用单独的项目
在要运行 Artifact Registry 的项目中启用 Container Scanning 和 Artifact Registry。将
AR_PROJECT替换为 相应的 Google Cloud 项目 ID。gcloud services enable containerscanning.googleapis.com \ artifactregistry.googleapis.com \ --project=AR_PROJECT在运行 Cloud Build 的项目中启用 Cloud Build API。将
BUILD_PROJECT替换为 相应的 Google Cloud 项目 ID。gcloud services enable cloudbuild.googleapis.com \ --project=BUILD_PROJECT在运行 GKE 的项目中启用 Container Security API。将
GKE_PROJECT替换为 相应的 Google Cloud 项目 ID。gcloud services enable containersecurity.googleapis.com \ --project=GKE_PROJECT
您已启用在 Google Cloud 控制台面板和 GKE 安全状况信息中心内生成和查看分析洞见所需的最低 API。
您可以从 API 库或其他服务启用 API,也可以使用 gcloud services enable 命令启用 API。