Présentation des attestations

Ce guide explique comment créer et utiliser des attestations d'autorisation binaire. Une fois l'image de conteneur créée, une attestation peut être créée pour confirmer qu'une activité requise a été effectuée sur l'image telle qu'un test de régression, une analyse des failles ou un autre test. L'attestation est créée en signant le condensé unique de l'image.

Au cours du déploiement, au lieu de répéter les activités, l'autorisation binaire vérifie les attestations à l'aide d'un certificateur. Si toutes les attestations d'une image sont validées, l'autorisation binaire permet le déploiement de l'image.

Avant de commencer

  1. Activer l'autorisation binaire.

  2. Configurez l'autorisation binaire avec l'un des produits suivants :

Les utilisateurs de Cloud Service Mesh doivent simplement configurer la stratégie d'autorisation binaire. Pour ce faire, consultez la section Configurer une stratégie plus loin dans ce guide.

Créer un certificateur

Pour utiliser des attestations, vous devez d'abord créer des certificateurs. Au moment du déploiement, l'autorisation binaire utilise des certificateurs pour valider l'attestation associée à l'image de conteneur.

Vous pouvez créer des certificateurs à l'aide des méthodes suivantes :

Configurer une règle de stratégie pour exiger des attestations

Cette section décrit comment configurer la règle pour exiger des attestations.

GKE

Cloud Run

Configurez la règle par défaut pour exiger des attestations à l'aide de l'une des méthodes suivantes :

Cloud distribué

Cloud Service Mesh

Les utilisateurs de Cloud Service Mesh peuvent créer des règles (y compris des règles nécessitant des attestations) s'appliquant à une identité de service de réseau maillé, à un compte de service Kubernetes ou à un espace de noms Kubernetes.

Pour configurer une règle spécifique, utilisez les méthodes suivantes :

Créer des attestations

Les attestations sont créées par un signataire. Le processus de création d'une attestation est également appelé signature d'une image. Un signataire peut être une personne qui crée manuellement une attestation. Un signataire peut également être un service automatisé. Pour obtenir des instructions décrivant différentes approches de la création d'attestations, consultez les pages suivantes :

Déployer une image

Après avoir créé une attestation, vous êtes prêt à déployer l'image associée.

GKE

Déployez des images à l'aide de GKE.

Cloud Run

Déployer des images à l'aide de Cloud Run.

Cloud distribué

Déployez des images à l'aide du cloud distribué.

Cloud Service Mesh

Les charges de travail Cloud Service Mesh sont appliquées dès que la règle est enregistrée.

Étape suivante