Présentation des attestations

Ce guide explique comment créer et utiliser des attestations d'autorisation binaire. Une fois l'image de conteneur créée, une attestation peut être créée pour confirmer qu'une activité requise a été effectuée sur l'image telle qu'un test de régression, une analyse des failles ou un autre test. L'attestation est créée en signant le condensé unique de l'image.

Au cours du déploiement, au lieu de répéter les activités, l'autorisation binaire vérifie les attestations à l'aide d'un certificateur. Si toutes les attestations d'une image sont validées, l'autorisation binaire permet le déploiement de l'image.

Avant de commencer

1. Activer l'autorisation binaire.

2. Configurez l'autorisation binaire avec l'un des produits suivants :

   • Tarifs de l'autorisation binaire pour Google Kubernetes Engine (GKE)
   • Autorisation binaire pour Cloud Run
   • Autorisation binaire pour Google Distributed Cloud

Les utilisateurs de Cloud Service Mesh doivent simplement configurer la stratégie d'autorisation binaire. Pour ce faire, consultez la section Configurer une stratégie plus loin dans ce guide.

Créer un certificateur

Pour utiliser des attestations, vous devez d'abord créer des certificateurs. Au moment du déploiement, l'autorisation binaire utilise des certificateurs pour valider l'attestation associée à l'image de conteneur.

Vous pouvez créer des certificateurs à l'aide des méthodes suivantes :

• Google Cloud CLI
• Google Cloud Console

Configurer une règle de stratégie pour exiger des attestations

Cette section décrit comment configurer la règle pour exiger des attestations.

Créer des attestations

Les attestations sont créées par un signataire. Le processus de création d'une attestation est également appelé signature d'une image. Un signataire peut être une personne qui crée manuellement une attestation. Un signataire peut également être un service automatisé. Pour obtenir des instructions décrivant différentes approches de la création d'attestations, consultez les pages suivantes :

• Créez manuellement des attestations en signant une image de conteneur.
• Créez des attestations dans un pipeline Cloud Build.
• Créez des attestations basées sur les résultats de failles de Artifact Analysis à l'aide de Voucher.
• Créez des attestations basées sur les résultats de failles de Artifact Analysis à l'aide de Kritis.

Déployer une image

Après avoir créé une attestation, vous êtes prêt à déployer l'image associée.

Étape suivante

• Consulter les journaux d'audit
• Affichez les journaux d'audit de type "bris de glace" Cloud Run.
• Utilisez le mode "bris de glace" (GKE).
• Utiliser le mode "bris de glace" (Cloud Run)
• Utilisez des condensés d'images dans les fichiers manifestes Kubernetes.