Este guia descreve como criar e usar atestados da autorização binária. Depois de criar uma imagem de contentor, pode criar uma atestação para afirmar que foi realizada uma atividade necessária na imagem, como um teste de regressão, uma análise de vulnerabilidades ou outro teste. A atestação é criada através da assinatura do resumo único da imagem.
Durante a implementação, em vez de repetir as atividades, a autorização binária valida as atestações através de um atestador. Se todas as atestações de uma imagem forem validadas, a autorização binária permite a implementação da imagem.
Antes de começar
Configure a autorização binária com um dos seguintes produtos:
Os utilizadores do Cloud Service Mesh só têm de configurar a política de autorização binária. Para tal, consulte a secção Configure uma política mais adiante neste guia.
Crie um atestador
Para usar atestações, primeiro cria atestadores. No momento da implementação, a Autorização binária usa atestadores para validar a atestação associada à imagem do contentor.
Pode criar atestadores através dos seguintes métodos:
Configure uma regra de política para exigir atestações
Esta secção descreve como configurar a política para exigir atestações.
GKE
Configure a regra predefinida para exigir atestações através dos seguintes métodos:
Configure uma regra específica do cluster para exigir atestações através dos seguintes métodos:
Cloud Run
Configure a regra predefinida para exigir atestações através de um dos seguintes métodos:
Distributed Cloud
- Configure a regra predefinida para exigir atestações através dos seguintes métodos:
- Configure uma regra específica do cluster para exigir atestações através dos seguintes métodos:
Cloud Service Mesh
Os utilizadores do Cloud Service Mesh podem criar regras, incluindo regras que requerem atestações, com âmbito definido para uma identidade de serviço de malha, uma conta de serviço do Kubernetes ou um espaço de nomes do Kubernetes.
Para configurar uma regra específica, use os seguintes métodos:
Crie atestações
As atestações são criadas por um signatário. O processo de criação de uma atestação também é conhecido como assinatura de uma imagem. Um signatário pode ser uma pessoa que cria manualmente uma atestação. Em alternativa, o signatário pode ser um serviço automatizado. Para ver instruções que descrevem diferentes abordagens à criação de atestações, consulte as seguintes páginas:
- Crie atestações manualmente assinando uma imagem de contentor.
- Crie atestações num pipeline do Cloud Build.
Implemente uma imagem
Depois de criar uma atestação, tem tudo pronto para implementar a imagem associada.
GKE
Cloud Run
Distributed Cloud
Cloud Service Mesh
As cargas de trabalho da malha de serviços na nuvem são aplicadas assim que a política é guardada.
O que se segue?
- Veja os registos de auditoria
- Veja os registos de auditoria de acesso de emergência do Cloud Run
- Use o acesso de emergência (GKE)
- Use o acesso de emergência (Cloud Run)
- Use resumos de imagens em manifestos do Kubernetes