Controllo dell'accesso con IAM

L'Artifact Analysis utilizza Identity and Access Management (IAM) per concedere l'accesso granulare a risorse specifiche in base all'attività che stai per eseguire.

Questa pagina descrive le autorizzazioni per controllare l'accesso all'analisi degli elementi.

Prima di iniziare

  1. Scopri di più sui concetti di archiviazione dei metadati.
  2. Scopri come concedere, revocare e modificare l'accesso alle risorse.

Ruoli IAM per fornitori e clienti di metadati

La gestione dei metadati nellArtifact Analysis coinvolge due entità che richiedono diversi livelli di accesso:

  • Un fornitore che crea metadati archiviati nelle note.
  • Un cliente che identifica le occorrenza delle note.

Fornitori di metadati

Un fornitore di metadati in Artifact Analysis è un autore di metadati delle risorse. Crea note che descrivono cosa può accadere a una risorsa.

Ti consigliamo di creare un progetto Google Cloud dedicato esclusivamente allo stoccaggio delle note. In quel progetto, limita l'accesso a un account utente o di servizio con i seguenti ruoli:

  • Container Analysis Notes Editor: per creare note a cui i clienti possono associare le occorrenze.

  • Visualizzatore occorrenze di Container Analysis per le note: per elencare tutte le occorrenze associate a una nota.

Clienti di metadati

Un cliente di metadati in Artifact Analysis associa informazioni alle risorse di metadati. Crea occorrenze, ovvero istanze di note, e ha come target un'immagine specifica all'interno di un progetto.

In qualità di cliente, per poter allegare le occorrenze alle note e elencarle, concedi al tuo account utente o di servizio i seguenti ruoli:

  • Editor occorrenze Container Analysis: concedi questo ruolo nel progetto del cliente per creare occorrenze.

  • Container Analysis Notes Attacher: concedi questo ruolo nel progetto del fornitore per associare le occorrenze alle note.

  • Visualizzatore occorrenze Container Analysis: concedi questo ruolo nel progetto del cliente per elencare le occorrenze all'interno del progetto.

Metadati delle vulnerabilità

Un'ulteriore misura di sicurezza per i metadati delle vulnerabilità è che Artifact Analysis consente ai fornitori di creare e gestire le occorrenze di vulnerabilità per conto di molti clienti. I clienti dei metadati non dispongono dell'autorizzazione di scrittura per le occorrenze di vulnerabilità dei fornitori di terze parti nei propri progetti.

Ciò significa, ad esempio, che l'Artifact Analysis può creare occorrenze di vulnerabilità per le immagini del progetto, ma non puoi aggiungere o rimuovere le informazioni sulle vulnerabilità rilevate dall'Artifact Analysis.

In questo modo è possibile applicare le norme di sicurezza impedendo la manipolazione dei metadati delle vulnerabilità lato cliente.

Ruoli IAM

La tabella seguente elenca i ruoli IAM di Artifact Analysis e le autorizzazioni che includono:

Role Permissions

(roles/containeranalysis.admin)

Access to all Container Analysis resources.

containeranalysis.notes.attachOccurrence

containeranalysis.notes.create

containeranalysis.notes.delete

containeranalysis.notes.get

containeranalysis.notes.getIamPolicy

containeranalysis.notes.list

containeranalysis.notes.setIamPolicy

containeranalysis.notes.update

containeranalysis.occurrences.*

  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.getIamPolicy
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.setIamPolicy
  • containeranalysis.occurrences.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/containeranalysis.notes.attacher)

Can attach Container Analysis Occurrences to Notes.

containeranalysis.notes.attachOccurrence

containeranalysis.notes.get

(roles/containeranalysis.notes.editor)

Can edit Container Analysis Notes.

containeranalysis.notes.attachOccurrence

containeranalysis.notes.create

containeranalysis.notes.delete

containeranalysis.notes.get

containeranalysis.notes.list

containeranalysis.notes.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/containeranalysis.notes.occurrences.viewer)

Can view all Container Analysis Occurrences attached to a Note.

containeranalysis.notes.get

containeranalysis.notes.listOccurrences

(roles/containeranalysis.notes.viewer)

Can view Container Analysis Notes.

containeranalysis.notes.get

containeranalysis.notes.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/containeranalysis.occurrences.editor)

Can edit Container Analysis Occurrences.

containeranalysis.occurrences.create

containeranalysis.occurrences.delete

containeranalysis.occurrences.get

containeranalysis.occurrences.list

containeranalysis.occurrences.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/containeranalysis.occurrences.viewer)

Can view Container Analysis Occurrences.

containeranalysis.occurrences.get

containeranalysis.occurrences.list

resourcemanager.projects.get

resourcemanager.projects.list