In diesem Leitfaden wird beschrieben, wie Sie Attestierungen für Binärautorisierungen erstellen und verwenden. Nachdem ein Container-Image erstellt wurde, kann eine Attestierung erstellt werden, um zu bestätigen, dass für das Image eine erforderliche Aktivität wie ein Regressionstest, ein Scannen auf Sicherheitslücken oder ein anderer Test ausgeführt wurde. Die Attestierung wird erstellt, indem der eindeutige Digest des Images signiert wird.
Während der Bereitstellung hat die Binärautorisierung nicht die Aktivitäten wiederholt, sondern die Attestierungen mithilfe eines Attestierers. Wenn alle Attestierungen für ein Image geprüft wurden, ermöglicht die Binärautorisierung die Bereitstellung des Images.
Hinweis
Richten Sie die Binärautorisierung mit einem der folgenden Produkte ein:
Anthos Service Mesh-(Vorschau)-Nutzer müssen nur die Richtlinie für die Binärautorisierung einrichten. Weitere Informationen dazu finden Sie weiter unten in dieser Anleitung unter Richtlinie konfigurieren.
Attestierer erstellen
Wenn Sie Attestierungen verwenden möchten, erstellen Sie zuerst Attestierer. Bei der Bereitstellung verwendet die Binärautorisierung Attestierer, um die mit dem Container-Image verknüpfte Attestierung zu prüfen.
Sie können Attestierer mit den folgenden Methoden erstellen:
- Die Google Cloud CLI
- Die Google Cloud Console
Richtlinienregel so konfigurieren, dass Attestierungen erforderlich sind
In diesem Abschnitt wird beschrieben, wie Sie die Richtlinie so konfigurieren, dass Attestierungen erforderlich sind.
GKE
Konfigurieren Sie die Standardregel so, dass Attestierungen mithilfe der folgenden Methoden erforderlich sind:
Konfigurieren Sie eine clusterspezifische Regel, die Attestierungen mithilfe der folgenden Methoden erfordert:
Cloud Run
Konfigurieren Sie die Standardregel so, dass Attestierungen mithilfe einer der folgenden Methoden erforderlich sind:
GKE-Cluster
- Konfigurieren Sie die Standardregel so, dass Attestierungen mithilfe der folgenden Methoden erforderlich sind:
- Konfigurieren Sie eine clusterspezifische Regel, um Attestierungen mithilfe der folgenden Methoden anzufordern:
Anthos Service Mesh
Anthos Service MeshVorschau Nutzer können Regeln erstellen – einschließlich Regeln, die Attestierungen erfordern –, die entweder auf eine Mesh-Dienstidentität, ein Kubernetes-Dienstkonto oder einen Kubernetes-Namespace beschränkt sind.
Führen Sie die folgenden Methoden aus, um eine bestimmte Regel zu konfigurieren:
Attestierungen erstellen
Attestierungen werden von einem Signer erstellt. Das Erstellen einer Attestierung wird auch als Signieren eines Images bezeichnet. Ein Signer kann eine Person sein, die manuell eine Attestierung erstellt. Alternativ kann ein Signaturgeber ein automatisierter Dienst sein. Eine Anleitung zur Beschreibung der verschiedenen Ansätze zum Erstellen von Attestierungen finden Sie auf den folgenden Seiten:
- Attestierungen manuell erstellen. Dazu signieren Sie ein Container-Image.
- Attestierungen in einer Cloud Build-Pipeline erstellen
- Attestierungen basierend auf Artefaktanalyse-Ergebnissen zu Sicherheitslücken mit Voucher erstellen
- Attestierungen basierend auf Ergebnissen aus Artefaktanalyse-Sicherheitslücken mit Kritis erstellen
Ein Image bereitstellen
Nachdem Sie eine Attestierung erstellt haben, können Sie das zugehörige Image bereitstellen.
GKE
Cloud Run
GKE-Cluster
Anthos Service Mesh
Anthos Service Mesh-(Vorschauen)-Arbeitslasten werden erzwungen, sobald die Richtlinie gespeichert wird.
Nächste Schritte
- Audit-Logs ansehen
- Break-Glass-Audit-Logs in Cloud Run ansehen
- Break-Glass verwenden (GKE)
- Break-Glass verwenden (Cloud Run)
- Image-Digests in Kubernetes-Manifesten verwenden