Visão geral dos atestados

Neste guia, descrevemos como criar e usar atestados de autorização binária. Depois que uma imagem de contêiner é criada, um atestado pode ser criado para confirmar que uma atividade necessária foi realizada na imagem, como um teste de regressão, verificação de vulnerabilidades ou outro teste. O atestado é criado assinando o resumo exclusivo da imagem.

Durante a implantação, em vez de repetir as atividades, a autorização binária verifica os atestados usando um atestador. Se todos os atestados de uma imagem forem verificados, a autorização binária permitirá que a imagem seja implantada.

Antes de começar

  1. Ative a autorização binária.

  2. Configure a autorização binária com um destes produtos:

Os usuários do Cloud Service Mesh precisam apenas configurar a política de autorização binária. Para fazer isso, consulte Configurar uma política, mais adiante neste guia.

Crie um atestador

Para usar atestados, primeiro crie atestadores. No momento da implantação, a autorização binária usa atestadores para verificar o atestado associado à imagem do contêiner.

.

Você pode criar atestadores usando os seguintes métodos:

Configurar uma regra de política para exigir atestados

Nesta seção, descrevemos como configurar a política para exigir atestados.

GKE

Cloud Run

Configure a regra padrão para exigir atestados usando um dos seguintes métodos:

Nuvem distribuída

Cloud Service Mesh

Os usuários do Cloud Service Mesh podem criar regras, incluindo regras que exigem atestados, com escopo para uma identidade de serviço de malha, uma conta de serviço do Kubernetes ou um namespace do Kubernetes.

Para configurar uma regra específica, use os seguintes métodos:

Criar atestados

Os atestados são criados por um signatário. O processo de criação de um atestado também é conhecido como assinatura de imagem. Um signatário pode ser uma pessoa que cria manualmente um atestado. Como alternativa, um signatário pode ser um serviço automatizado. Para instruções que descrevem diferentes abordagens para criar atestados, consulte estas páginas:

Implantar uma imagem

Depois de criar um atestado, você poderá implantar a imagem associada.

GKE

Implante imagens usando o GKE.

Cloud Run

Implante imagens usando o Cloud Run.

Nuvem distribuída

Implantar imagens usando o Distributed Cloud.

Cloud Service Mesh

As cargas de trabalho do Cloud Service Mesh são aplicadas assim que a política é salva.

A seguir