Neste guia, descrevemos como criar e usar atestados de autorização binária. Depois que uma imagem de contêiner é criada, um atestado pode ser criado para confirmar que uma atividade necessária foi realizada na imagem, como um teste de regressão, verificação de vulnerabilidades ou outro teste. O atestado é criado assinando o resumo exclusivo da imagem.
Durante a implantação, em vez de repetir as atividades, a autorização binária verifica os atestados usando um atestador. Se todos os atestados de uma imagem forem verificados, a autorização binária permitirá que a imagem seja implantada.
Antes de começar
Configure a autorização binária com um destes produtos:
Os usuários do Cloud Service Mesh (visualização) precisam apenas configurar a política de autorização binária. Para fazer isso, consulte Configurar uma política, mais adiante neste guia.
Crie um atestador
Para usar atestados, primeiro crie atestadores. No momento da implantação, a autorização binária usa atestadores para verificar o atestado associado à imagem do contêiner.
Você pode criar atestadores usando os seguintes métodos:
Configurar uma regra de política para exigir atestados
Nesta seção, descrevemos como configurar a política para exigir atestados.
GKE
Configure a regra padrão para exigir atestados usando os seguintes métodos:
Configure uma regra específica do cluster para exigir atestados usando os seguintes métodos:
Cloud Run
Configure a regra padrão para exigir atestados usando um dos seguintes métodos:
Clusters do GKE
- Configure a regra padrão para exigir atestados usando os seguintes métodos:
- Configure uma regra específica do cluster para exigir atestados usando os seguintes métodos:
Cloud Service Mesh
Os usuários do Cloud Service Mesh (visualização) podem criar regras, incluindo regras que exigem atestados, com escopo para uma identidade de serviço de malha, uma conta de serviço do Kubernetes ou um namespace do Kubernetes.
Para configurar uma regra específica, use os seguintes métodos:
Criar atestados
Os atestados são criados por um signatário. O processo de criação de um atestado também é conhecido como assinatura de imagem. Um signatário pode ser uma pessoa que cria manualmente um atestado. Como alternativa, um signatário pode ser um serviço automatizado. Para instruções que descrevem diferentes abordagens para criar atestados, consulte estas páginas:
- Criar atestados manualmente assinando uma imagem de contêiner.
- Criar atestados em um pipeline do Cloud Build.
- Criar atestados com base nas descobertas de vulnerabilidade do Artifact Analysis usando o Voucher.
- Criar atestados com base nas descobertas de vulnerabilidade do Artifact Analysis usando o Kritis.
Implantar uma imagem
Depois de criar um atestado, você poderá implantar a imagem associada.
GKE
Cloud Run
Clusters do GKE
Cloud Service Mesh
As cargas de trabalho do Cloud Service Mesh (Visualização) são aplicadas assim que a política é salva.
A seguir
- Ver registros de auditoria
- Ver os registros de auditoria de implantação forçada do Cloud Run
- Usar o intervalo (GKE)
- Usar implantação forçada (Cloud Run)
- Usar resumos de imagens em manifestos do Kubernetes