Ce guide explique comment créer et utiliser des attestations d'autorisation binaire. Une fois l'image de conteneur créée, une attestation peut être créée pour confirmer qu'une activité requise a été effectuée sur l'image telle qu'un test de régression, une analyse des failles ou un autre test. L'attestation est créée en signant le condensé unique de l'image.
Au cours du déploiement, au lieu de répéter les activités, l'autorisation binaire vérifie les attestations à l'aide d'un certificateur. Si toutes les attestations d'une image sont validées, l'autorisation binaire permet le déploiement de l'image.
Avant de commencer
Configurez l'autorisation binaire avec l'un des produits suivants :
Les utilisateurs de Cloud Service Mesh doivent simplement configurer la stratégie d'autorisation binaire. Pour ce faire, consultez la section Configurer une stratégie plus loin dans ce guide.
Créer un certificateur
Pour utiliser des attestations, vous devez d'abord créer des certificateurs. Au moment du déploiement, l'autorisation binaire utilise des certificateurs pour valider l'attestation associée à l'image de conteneur.
Vous pouvez créer des certificateurs à l'aide des méthodes suivantes :
Configurer une règle de stratégie pour exiger des attestations
Cette section décrit comment configurer la règle pour exiger des attestations.
GKE
Configurez la règle par défaut pour exiger des attestations à l'aide des méthodes suivantes :
Configurez une règle spécifique à un cluster pour exiger des attestations à l'aide des méthodes suivantes :
Cloud Run
Configurez la règle par défaut pour exiger des attestations à l'aide de l'une des méthodes suivantes :
Cloud distribué
- Configurez la règle par défaut pour exiger des attestations à l'aide des méthodes suivantes :
- Configurez une règle spécifique à un cluster pour exiger des attestations à l'aide des méthodes suivantes :
Cloud Service Mesh
Les utilisateurs de Cloud Service Mesh peuvent créer des règles (y compris des règles nécessitant des attestations) s'appliquant à une identité de service de réseau maillé, à un compte de service Kubernetes ou à un espace de noms Kubernetes.
Pour configurer une règle spécifique, utilisez les méthodes suivantes :
Créer des attestations
Les attestations sont créées par un signer. Le processus de création d'une attestation est également appelé signature d'une image. Un signataire peut être une personne qui crée manuellement une attestation. Un signataire peut également être un service automatisé. Pour obtenir des instructions décrivant différentes approches de la création d'attestations, consultez les pages suivantes :
- Créez manuellement des attestations en signant une image de conteneur.
- Créez des attestations dans un pipeline Cloud Build.
- Créez des attestations basées sur les résultats de failles de Artifact Analysis à l'aide de Voucher.
- Créez des attestations basées sur les résultats de failles de Artifact Analysis à l'aide de Kritis.
Déployer une image
Après avoir créé une attestation, vous êtes prêt à déployer l'image associée.
GKE
Cloud Run
Cloud distribué
Cloud Service Mesh
Les charges de travail Cloud Service Mesh sont appliquées dès que la règle est enregistrée.
Étape suivante
- Consulter les journaux d'audit
- Affichez les journaux d'audit de type "bris de glace" Cloud Run.
- Utilisez le mode "bris de glace" (GKE).
- Utiliser le mode "bris de glace" (Cloud Run)
- Utilisez des condensés d'images dans les fichiers manifestes Kubernetes.