Panduan ini menjelaskan cara membuat dan menggunakan pernyataan Otorisasi Biner. Setelah image container di-build, pengesahan dapat dibuat untuk mengonfirmasi bahwa aktivitas yang diperlukan dilakukan pada image seperti pengujian regresi, pemindaian kerentanan, atau pengujian lainnya. Pengesahan dibuat dengan menandatangani ringkasan unik gambar.
Selama deployment, Binary Authorization akan memverifikasi pengesahan menggunakan pengautentikasi, bukan mengulangi aktivitas. Jika semua pengesahan untuk image diverifikasi, Otorisasi Biner akan mengizinkan image di-deploy.
Sebelum memulai
Siapkan Otorisasi Biner dengan salah satu produk berikut:
Pengguna Cloud Service Mesh hanya perlu menyiapkan kebijakan Otorisasi Biner. Untuk melakukannya, lihat Mengonfigurasi kebijakan, nanti di panduan ini.
Membuat attestor
Untuk menggunakan pengesahan, Anda harus membuat penegaskan terlebih dahulu. Pada waktu deployment, Otorisasi Biner menggunakan pengautentikasi untuk memverifikasi pengesahan yang terkait dengan image container.
Anda dapat membuat pengautentikasi menggunakan metode berikut:
Mengonfigurasi aturan kebijakan untuk mewajibkan pengesahan
Bagian ini menjelaskan cara mengonfigurasi kebijakan untuk mewajibkan pengesahan.
GKE
Konfigurasikan aturan default untuk mewajibkan pengesahan menggunakan metode berikut:
Konfigurasikan aturan khusus cluster untuk mewajibkan pengesahan menggunakan metode berikut:
Cloud Run
Konfigurasikan aturan default untuk mewajibkan pengesahan menggunakan salah satu metode berikut:
Cloud Terdistribusi
- Konfigurasikan aturan default untuk mewajibkan pengesahan menggunakan metode berikut:
- Konfigurasikan aturan khusus cluster untuk mewajibkan pengesahan menggunakan metode berikut:
Mesh Layanan Cloud
Pengguna Cloud Service Mesh dapat membuat aturan—termasuk aturan yang memerlukan pengesahan—yang dicakup untuk identitas layanan mesh, akun layanan Kubernetes, atau namespace Kubernetes.
Untuk mengonfigurasi aturan tertentu, gunakan metode berikut:
Membuat pengesahan
Pengesahan dibuat oleh penanda tangan. Proses pembuatan pengesahan juga dikenal sebagai menandatangani image. Penanda tangan dapat berupa orang yang membuat pengesahan secara manual. Atau, penanda tangan dapat berupa layanan otomatis. Untuk petunjuk yang menjelaskan berbagai pendekatan untuk membuat pengesahan, lihat halaman berikut:
- Buat pengesahan secara manual dengan menandatangani image container.
- Membuat pengesahan di pipeline Cloud Build.
- Buat pengesahan berdasarkan temuan kerentanan Analisis Artefak menggunakan Voucher.
- Membuat pengesahan berdasarkan temuan kerentanan Analisis Artefak menggunakan Kritis.
Men-deploy image
Setelah membuat pengesahan, Anda siap men-deploy image terkait.
GKE
Cloud Run
Cloud Terdistribusi
Mesh Layanan Cloud
Workload Cloud Service Mesh diterapkan segera setelah kebijakan disimpan.
Langkah selanjutnya
- Melihat log audit
- Melihat log audit breakglass Cloud Run
- Menggunakan breakglass (GKE)
- Menggunakan breakglass (Cloud Run)
- Menggunakan ringkasan image dalam manifes Kubernetes