En esta guía, se describe cómo crear y usar certificaciones de autorización binaria. Después de compilar una imagen de contenedor, se puede crear una certificación para confirmar que se realizó una actividad obligatoria en la imagen, como una prueba de regresión, un análisis de vulnerabilidades o alguna otra prueba. La certificación se crea mediante la firma del resumen único de la imagen.
Durante la implementación, en lugar de repetir las actividades, la autorización binaria verifica las certificaciones mediante un certificador. Si se verifican todas las certificaciones de una imagen, la autorización binaria permite implementar la imagen.
Antes de comenzar
Configura la autorización binaria con uno de los siguientes productos:
Los usuarios de Cloud Service Mesh solo deben configurar la política de Autorización Binaria. Para hacerlo, consulta Configura una política más adelante en esta guía.
Crea un certificador
Para usar certificaciones, primero debes crear certificadores. En el momento de la implementación, la autorización binaria usa certificadores para verificar la certificación asociada con la imagen de contenedor.
Puedes crear certificadores mediante los siguientes métodos:
Configura una regla de política para que exija certificaciones
En esta sección, se describe cómo configurar la política para requerir certificaciones.
GKE
Configura la regla predeterminada para que exija certificaciones mediante los siguientes métodos:
Configura una regla específica del clúster para que exija certificaciones mediante los siguientes métodos:
Cloud Run
Configura la regla predeterminada para que exija certificaciones mediante uno de los siguientes métodos:
Distributed Cloud
- Configura la regla predeterminada para que exija certificaciones mediante los siguientes métodos:
- Configura una regla específica del clúster para que exija certificaciones mediante los siguientes métodos:
Cloud Service Mesh
Los usuarios de Cloud Service Mesh pueden crear reglas, incluidas reglas que requieran certificaciones, que tengan un alcance de una identidad de servicio de malla, una cuenta de servicio de Kubernetes o un espacio de nombres de Kubernetes.
Para configurar una regla específica, usa los siguientes métodos:
Crea certificaciones
Un signer crea las certificaciones. El proceso de creación de una certificación también se conoce como firmar una imagen. Un firmante puede ser una persona que crea una certificación de forma manual. Como alternativa, un firmante puede ser un servicio automatizado. Si deseas obtener instrucciones que describen diferentes enfoques para crear certificaciones, consulta las siguientes páginas:
- Crea certificaciones de forma manual mediante la firma de una imagen de contenedor.
- Crea certificaciones en una canalización de Cloud Build.
- Crea certificaciones basadas en los resultados de las vulnerabilidades de Artifact Analysis mediante Voucher.
- Crea certificaciones basadas en los resultados de las vulnerabilidades de Artifact Analysis mediante Kritis.
Implementa una imagen
Después de crear una certificación, estás listo para implementar la imagen asociada.
GKE
Cloud Run
Distributed Cloud
Cloud Service Mesh
Las cargas de trabajo de Cloud Service Mesh se aplican apenas se guarda la política.
¿Qué sigue?
- Ver registros de auditoría
- Visualiza los registros de auditoría de las anulaciones de emergencia de Cloud Run
- Usa la anulación de emergencia (GKE)
- Usa la anulación de emergencia (Cloud Run)
- Usa resúmenes de imágenes en manifiestos de Kubernetes