L'Artifact Analysis utilizza Identity and Access Management (IAM) per concedere l'accesso granulare a risorse specifiche in base all'attività che stai per eseguire.
Questa pagina descrive le autorizzazioni per controllare l'accesso all'analisi degli elementi.
Prima di iniziare
- Scopri di più sui concetti di archiviazione dei metadati.
- Scopri come concedere, revocare e modificare l'accesso alle risorse.
Ruoli IAM per fornitori e clienti di metadati
La gestione dei metadati nellArtifact Analysis coinvolge due entità che richiedono diversi livelli di accesso:
- Un fornitore che crea metadati archiviati nelle note.
- Un cliente che identifica le occorrenza delle note.
Fornitori di metadati
Un fornitore di metadati in Artifact Analysis è un autore di metadati delle risorse. Crea note che descrivono cosa può accadere a una risorsa.
Ti consigliamo di creare un progetto Google Cloud dedicato esclusivamente allo stoccaggio delle note. In quel progetto, limita l'accesso a un account utente o di servizio con i seguenti ruoli:
Container Analysis Notes Editor: per creare note a cui i clienti possono associare le occorrenze.
Visualizzatore occorrenze di Container Analysis per le note: per elencare tutte le occorrenze associate a una nota.
Clienti di metadati
Un cliente di metadati in Artifact Analysis associa informazioni alle risorse di metadati. Crea occorrenze, ovvero istanze di note, e ha come target un'immagine specifica all'interno di un progetto.
In qualità di cliente, per poter allegare le occorrenze alle note e elencarle, concedi al tuo account utente o di servizio i seguenti ruoli:
Editor occorrenze Container Analysis: concedi questo ruolo nel progetto del cliente per creare occorrenze.
Container Analysis Notes Attacher: concedi questo ruolo nel progetto del fornitore per associare le occorrenze alle note.
Visualizzatore occorrenze Container Analysis: concedi questo ruolo nel progetto del cliente per elencare le occorrenze all'interno del progetto.
Metadati delle vulnerabilità
Un'ulteriore misura di sicurezza per i metadati delle vulnerabilità è che Artifact Analysis consente ai fornitori di creare e gestire le occorrenze di vulnerabilità per conto di molti clienti. I clienti dei metadati non dispongono dell'autorizzazione di scrittura per le occorrenze di vulnerabilità dei fornitori di terze parti nei propri progetti.
Ciò significa, ad esempio, che l'Artifact Analysis può creare occorrenze di vulnerabilità per le immagini del progetto, ma non puoi aggiungere o rimuovere le informazioni sulle vulnerabilità rilevate dall'Artifact Analysis.
In questo modo è possibile applicare le norme di sicurezza impedendo la manipolazione dei metadati delle vulnerabilità lato cliente.
Ruoli IAM
La tabella seguente elenca i ruoli IAM di Artifact Analysis e le autorizzazioni che includono:
Role | Permissions |
---|---|
Container Analysis Admin( Access to all Container Analysis resources. |
|
Container Analysis Notes Attacher( Can attach Container Analysis Occurrences to Notes. |
|
Container Analysis Notes Editor( Can edit Container Analysis Notes. |
|
Container Analysis Occurrences for Notes Viewer( Can view all Container Analysis Occurrences attached to a Note. |
|
Container Analysis Notes Viewer( Can view Container Analysis Notes. |
|
Container Analysis Occurrences Editor( Can edit Container Analysis Occurrences. |
|
Container Analysis Occurrences Viewer( Can view Container Analysis Occurrences. |
|