Panduan ini menjelaskan cara membuat dan menggunakan attestations Otorisasi Biner. Setelah image container dibuat, pengesahan dapat dibuat untuk menegaskan bahwa aktivitas yang diperlukan telah dilakukan pada image, seperti pengujian regresi, pemindaian kerentanan, atau pengujian lainnya. Pengesahan dibuat dengan menandatangani ringkasan unik gambar.
Selama deployment, Otorisasi Biner memverifikasi pengesahan menggunakan attestor, bukan mengulangi aktivitas. Jika semua pengesahan untuk image sudah diverifikasi, Otorisasi Biner memungkinkan image di-deploy.
Sebelum memulai
Siapkan Otorisasi Biner dengan salah satu produk berikut:
Pengguna Anthos Service Mesh (pratinjau) hanya perlu menyiapkan kebijakan Otorisasi Biner. Untuk melakukannya, lihat Mengonfigurasi kebijakan, nanti dalam panduan ini.
Membuat attestor
Untuk menggunakan pengesahan, Anda harus membuat attestor terlebih dahulu. Pada waktu deployment, Otorisasi Biner menggunakan attestor untuk memverifikasi pengesahan yang terkait dengan image container.
Anda dapat membuat attestor menggunakan metode berikut:
Mengonfigurasi aturan kebijakan untuk mewajibkan pengesahan
Bagian ini menjelaskan cara mengonfigurasi kebijakan agar mewajibkan pengesahan.
GKE
Konfigurasikan aturan default untuk mewajibkan pengesahan menggunakan metode berikut:
Konfigurasikan aturan khusus cluster untuk mewajibkan pengesahan menggunakan metode berikut:
Cloud Run
Konfigurasikan aturan default untuk mewajibkan pengesahan menggunakan salah satu metode berikut:
Cluster GKE
- Konfigurasikan aturan default untuk mewajibkan pengesahan menggunakan metode berikut:
- Konfigurasikan aturan khusus cluster untuk mewajibkan pengesahan menggunakan metode berikut:
Anthos Service Mesh
Pengguna Anthos Service Mesh (Pratinjau) dapat membuat aturan—termasuk aturan yang memerlukan pengesahan—yang dicakupkan ke identitas layanan mesh, akun layanan Kubernetes, atau namespace Kubernetes.
Untuk mengonfigurasi aturan tertentu, gunakan metode berikut:
Membuat pengesahan
Pengesahan dibuat oleh penandatangan. Proses pembuatan pengesahan juga dikenal sebagai penandatanganan gambar. Penanda tangan dapat berupa orang yang membuat pengesahan secara manual. Atau, penanda tangan dapat berupa layanan otomatis. Untuk petunjuk yang menjelaskan berbagai pendekatan dalam membuat pengesahan, lihat halaman berikut:
- Buat pengesahan secara manual dengan menandatangani image container.
- Membuat pengesahan di pipeline Cloud Build.
- Buat pengesahan berdasarkan temuan kerentanan Analisis Artefak menggunakan Voucher.
- Buat pengesahan berdasarkan temuan kerentanan Analisis Artefak menggunakan Kritis.
Men-deploy image
Setelah membuat pengesahan, Anda siap men-deploy image terkait.
GKE
Cloud Run
Cluster GKE
Anthos Service Mesh
Workload Anthos Service Mesh (Pratinjau) diterapkan segera setelah kebijakan disimpan.
Langkah selanjutnya
- Melihat log audit
- Melihat log audit akses darurat Cloud Run
- Menggunakan akses darurat (GKE)
- Menggunakan akses darurat (Cloud Run)
- Menggunakan ringkasan gambar dalam manifes Kubernetes