ソフトウェア セキュリティの未来を形作るために、2021 年の State of DevOps アンケートに参加して、あなたの声を聞かせてください。

証明書の概要

このガイドでは、Binary Authorization 証明書の作成方法と使用方法について説明します。コンテナ イメージのビルド後に証明書を作成すると、イメージに対して必要なアクティビティ(回帰テスト、脆弱性スキャン、その他のテストなど)が実行されたことを確認できます。証明書は、イメージに固有のダイジェストに署名することによって作成されます。デプロイ時に、Binary Authorization はアクティビティを繰り返す代わりに認証者を使用して証明書を検証します。イメージのすべての証明書が確認されると、Binary Authorization はそのイメージのデプロイを許可します。

始める前に

  1. Binary Authorization の有効化

  2. 次のいずれかのプロダクトを使用して Binary Authorization を設定します。

    Anthos Service Mesh(プレビュー)ユーザーは、Binary Authorization ポリシーのみを設定する必要があります。このガイドで後述する、ポリシーの構成をご覧ください。

認証者を作成する

証明書を使用するには、まず認証者を作成します。デプロイ時、Binary Authorization は認証者を使用して、コンテナ イメージに関連付けられた証明書を検証します。

認証者を作成するには、次のメソッドを使用します。

証明書を要求するポリシールールの構成

GKE

Cloud Run

次のいずれかの方法で、証明書を要求するデフォルト ルールを構成します。

Anthos clusters on VMware

Anthos Service Mesh

Anthos Service Mesh(プレビュー)ユーザーは、メッシュ サービス ID、Kubernetes サービス アカウント、または Kubernetes 名前空間をスコープとするルールを作成できます(証明書が必要なルールを含む)。

特定のルールを構成するには、次のメソッドを使用します。

証明書の作成

証明書は署名者によって作成されます。証明書を作成するプロセスは、イメージへの署名とも呼ばれます。署名者とは、証明書を手動で作成する人の場合があります。または、署名者は自動サービスである場合もあります。証明書を作成するさまざまな方法については、次のページをご覧ください。

イメージをデプロイする

証明書を作成したら、関連するイメージをデプロイできます。

GKE

GKE を使用してイメージをデプロイする

Cloud Run

Cloud Run を使用してイメージをデプロイする

Anthos clusters on VMware

Anthos clusters on VMware を使用してイメージをデプロイする

Anthos Service Mesh

ポリシーを保存すると、すぐに Anthos Service Mesh(プレビュー)ワークロードが適用されます。

次のステップ