En esta guía se describe cómo crear y usar atestaciones de autorización binaria. Una vez creada una imagen de contenedor, se puede crear una certificación para confirmar que se ha realizado una actividad obligatoria en la imagen, como una prueba de regresión, un análisis de vulnerabilidades u otra prueba. La certificación se crea firmando el digest único de la imagen.
Durante la implementación, en lugar de repetir las actividades, la autorización binaria verifica las certificaciones mediante un certificador. Si se verifican todas las atestaciones de una imagen, la autorización binaria permite que se despliegue.
Antes de empezar
Configura la autorización binaria con uno de los siguientes productos:
Los usuarios de Cloud Service Mesh solo tienen que configurar la política de autorización binaria. Para hacerlo, consulta la sección Configurar una política, más adelante en esta guía.
Crear un encargado de la atestación
Para usar las atestaciones, primero debes crear encargados de la atestación. En el momento del despliegue, la autorización binaria usa atestadores para verificar la atestación asociada a la imagen de contenedor.
Puede crear verificadores mediante los siguientes métodos:
Configurar una regla de política para requerir certificaciones
En esta sección se describe cómo configurar la política para que requiera certificaciones.
GKE
Configura la regla predeterminada para que requiera certificaciones mediante los siguientes métodos:
Configura una regla específica de un clúster para requerir certificaciones mediante los siguientes métodos:
Cloud Run
Configura la regla predeterminada para que requiera certificaciones con uno de los siguientes métodos:
Nube distribuida
- Configure la regla predeterminada para que requiera certificaciones mediante los siguientes métodos:
- Configura una regla específica del clúster para requerir certificaciones mediante los siguientes métodos:
Cloud Service Mesh
Los usuarios de Cloud Service Mesh pueden crear reglas, incluidas las que requieren certificaciones, que se limitan a una identidad de servicio de malla, una cuenta de servicio de Kubernetes o un espacio de nombres de Kubernetes.
Para configurar una regla específica, utiliza los siguientes métodos:
Crear atestaciones
Las atestaciones las crea un firmante. El proceso de creación de una certificación también se conoce como firma de una imagen. Un firmante puede ser una persona que cree una certificación manualmente. También puede ser un servicio automatizado. Para obtener instrucciones sobre los diferentes enfoques para crear certificaciones, consulta las siguientes páginas:
- Crea certificaciones manualmente firmando una imagen de contenedor.
- Crea atestaciones en una canalización de Cloud Build.
Desplegar una imagen
Una vez que hayas creado una certificación, podrás implementar la imagen asociada.
GKE
Cloud Run
Nube distribuida
Cloud Service Mesh
Las cargas de trabajo de Cloud Service Mesh se implementan en cuanto se guarda la política.
Siguientes pasos
- Ver registros de auditoría
- Ver los registros de auditoría de acceso de emergencia de Cloud Run
- Usar el acceso de emergencia (GKE)
- Utilizar el acceso de emergencia (Cloud Run)
- Usar resúmenes de imágenes en manifiestos de Kubernetes