Questa pagina mostra come utilizzare i vincoli personalizzati del servizio Organization Policy per limitare operazioni specifiche sulle seguenti risorse Google Cloud :
binaryauthorization.googleapis.com/Policy
binaryauthorization.googleapis.com/Attestor
Per saperne di più sul criterio dell'organizzazione, consulta Criteri dell'organizzazione personalizzati.
Informazioni sui criteri e sui vincoli dell'organizzazione
Il servizio Google Cloud Policy dell'organizzazione offre un controllo centralizzato e programmatico sulle risorse della tua organizzazione. In qualità di amministratore dei criteri dell'organizzazione, puoi definire un criterio dell'organizzazione, ovvero un insieme di restrizioni chiamate vincoli che si applicano alle Google Cloud risorse e ai relativi discendenti nella Google Cloud gerarchia delle risorse. Puoi applicare i criteri dell'organizzazione a livello di organizzazione, cartella o progetto.
Organization Policy fornisce vincoli gestiti integrati per vari servizi Google Cloud . Tuttavia, se vuoi un controllo più granulare e personalizzabile sui campi specifici limitati nelle norme dell'organizzazione, puoi anche creare vincoli personalizzati e utilizzarli in una norma dell'organizzazione.
Ereditarietà delle norme
Per impostazione predefinita, i criteri dell'organizzazione vengono ereditati dai discendenti delle risorse su cui applichi il criterio. Ad esempio, se applichi un criterio a una cartella, Google Cloud il criterio viene applicato a tutti i progetti nella cartella. Per scoprire di più su questo comportamento e su come modificarlo, consulta le regole di valutazione della gerarchia.
Vantaggi
Utilizza i criteri dell'organizzazione personalizzati per eseguire le seguenti operazioni con i criteri di Autorizzazione binaria:
- Applica i requisiti di sicurezza richiedendo l'autorizzazione dell'utente per il deployment dell'immagine di sistema.
- Assicurati che l'attestazione sia richiesta per tutti i deployment di pod all'interno del criterio di Autorizzazione binaria.
- Assicurati che attestatori specifici siano inclusi nel criterio di Autorizzazione binaria utilizzato per la verifica dell'attestazione.
- Limita le operazioni consentite a un pattern di lista consentita definito all'interno del criterio di autorizzazione binaria.
Utilizza i criteri dell'organizzazione personalizzati per eseguire le seguenti operazioni con le attestazioni di Autorizzazione binaria:
- Assicurati che gli attestatori vengano creati con metadati descrittivi per definirne chiaramente lo scopo.
- Assicurati che la chiave crittografica associata a ogni attestatore venga generata utilizzando un algoritmo di firma specifico e predeterminato.
Prima di iniziare
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Assicurati di conoscere l'ID organizzazione.
-
Amministratore criteri organizzazione (
roles/orgpolicy.policyAdmin
) sulla risorsa organizzazione -
Per aggiornare una policy:
Ruoli del criterio di Autorizzazione binaria (
roles/binaryauthorization.policyEditor
) sul progetto -
Per creare e aggiornare un attestatore:
Ruoli di attestatore di autorizzazione binaria (
roles/binaryauthorization.attestorsAdmin
) sul progetto -
orgpolicy.*
sulla risorsa dell'organizzazione -
Per aggiornare una policy di Autorizzazione binaria:
-
binaryauthorization.policy.update
sulla risorsa del progetto -
binaryauthorization.policy.get
sulla risorsa del progetto
-
-
Per creare o aggiornare un attestatore di autorizzazione binaria:
-
binaryauthorization.attestors.get
sulla risorsa del progetto -
binaryauthorization.attestors.list
sulla risorsa del progetto -
binaryauthorization.attestors.create
sulla risorsa del progetto -
binaryauthorization.attestors.update
sulla risorsa del progetto
-
ORGANIZATION_ID
: l'ID organizzazione, ad esempio123456789
.CONSTRAINT_NAME
: il nome che vuoi assegnare al nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare concustom.
e può includere solo lettere maiuscole, minuscole o numeri. Ad esempio,custom.ensureBinaryAuthorizationEnforcementEnabled
. La lunghezza massima di questo campo è 70 caratteri.RESOURCE_NAME
: il nome completo della risorsaGoogle Cloud contenente l'oggetto e il campo che vuoi limitare. Ad esempio:binaryauthorization.googleapis.com/Policy
.CONDITION
: una condizione CEL scritta in base a una rappresentazione di una risorsa di servizio supportata. Questo campo ha una lunghezza massima di 1000 caratteri. Per saperne di più sulle risorse disponibili per scrivere condizioni, consulta Risorse supportate. Ad esempio,"resource.defaultAdmissionRule.enforcementMode == 'ENFORCED_BLOCK_AND_AUDIT_LOG'"
.ACTION
: l'azione da intraprendere se la condizionecondition
è soddisfatta. I valori possibili sonoALLOW
eDENY
.DISPLAY_NAME
: un nome facile da ricordare per il vincolo. Questo campo ha una lunghezza massima di 200 caratteri.DESCRIPTION
: una descrizione comprensibile del vincolo da visualizzare come messaggio di errore in caso di violazione della policy. Questo campo ha una lunghezza massima di 2000 caratteri.- Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.
- Nel selettore di progetti, seleziona il progetto per cui vuoi impostare il criterio dell'organizzazione.
- Dall'elenco nella pagina Criteri organizzazione, seleziona il vincolo per visualizzare la pagina Dettagli criterio relativa a quel vincolo.
- Per configurare la policy dell'organizzazione per questa risorsa, fai clic su Gestisci policy.
- Nella pagina Modifica policy, seleziona Esegui override della policy dell'unità organizzativa principale.
- Fai clic su Aggiungi una regola.
- Nella sezione Applicazione, seleziona se l'applicazione di questa policy dell'organizzazione è attiva o disattivata.
- (Facoltativo) Per rendere la policy dell'organizzazione condizionale in base a un tag, fai clic su Aggiungi condizione. Tieni presente che se aggiungi una regola condizionale a una policy dell'organizzazione, devi aggiungere almeno una regola incondizionata o la policy non può essere salvata. Per saperne di più, vedi Impostazione di un criterio dell'organizzazione con tag.
- Fai clic su Testa modifiche per simulare l'effetto della policy dell'organizzazione. La simulazione delle policy non è disponibile per i vincoli gestiti legacy. Per saperne di più, consulta Testare le modifiche alle policy dell'organizzazione con Policy Simulator.
- Per completare e applicare la policy dell'organizzazione, fai clic su Imposta policy. L'applicazione del criterio richiede fino a 15 minuti.
-
PROJECT_ID
: il progetto su cui vuoi applicare il vincolo. -
CONSTRAINT_NAME
: il nome che hai definito per il vincolo personalizzato. Ad esempio,custom.ensureBinaryAuthorizationEnforcementEnabled
. - Abilita l'API Binary Authorization una volta per progetto.
- Conosci l'ID organizzazione.
- Conosci l'ID progetto.
Salva il seguente file come
constraint.yaml
:name: organizations/ORGANIZATION_ID/customConstraints/custom.ensureBinaryAuthorizationEnforcementEnabled resourceTypes: - binaryauthorization.googleapis.com/Policy methodTypes: - CREATE - UPDATE condition: "resource.defaultAdmissionRule.enforcementMode == 'ENFORCED_BLOCK_AND_AUDIT_LOG'" actionType: ALLOW displayName: Ensure Binary Authorization Enforcement is enabled description: Binary Authorization policy must have enforcement enabled to block deployments if one or more required attestations are missing.
Questo vincolo impedisce gli aggiornamenti dei criteri di autorizzazione binaria a meno che
defaultAdmissionRule.enforcementMode
non sia impostato suENFORCED_BLOCK_AND_AUDIT_LOG
.Applica il vincolo:
gcloud org-policies set-custom-constraint ~/constraint.yaml
Verifica che il vincolo esista:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
L'output è simile al seguente:
CUSTOM_CONSTRAINT: custom.ensureBinaryAuthorizationEnforcementEnabled ACTION_TYPE: DENY METHOD_TYPES: CREATE,UPDATE RESOURCE_TYPES: binaryauthorization.googleapis.com/Policy DISPLAY_NAME: Ensure Binary Authorization Enforcement is enabled
Salva il seguente file come
policy.yaml
:name: projects/PROJECT_ID/policies/custom.ensureBinaryAuthorizationEnforcementEnabled spec: rules: - enforce: true
Sostituisci
PROJECT_ID
con l'ID progetto.Applica le norme:
gcloud org-policies set-policy ~/policy.yaml
Verifica che il criterio esista:
gcloud org-policies list --project=PROJECT_ID
L'output è simile al seguente:
CONSTRAINT: custom.ensureBinaryAuthorizationEnforcementEnabled LIST_POLICY: - BOOLEAN_POLICY: SET ETAG: CJSetr4GEPil1JAB-
- Scopri di più sul Servizio Criteri dell'organizzazione.
- Scopri di più su come creare e gestire le norme dell'organizzazione.
- Consulta l'elenco completo dei vincoli delle policy dell'organizzazione gestiti.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per gestire le policy dell'organizzazione, chiedi all'amministratore di concederti i seguenti ruoli IAM:
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per gestire le policy dell'organizzazione. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per gestire le policy dell'organizzazione sono necessarie le seguenti autorizzazioni:
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Creare un vincolo personalizzato
Un vincolo personalizzato viene definito in un file YAML dalle risorse, dai metodi, dalle condizioni e dalle azioni supportati dal servizio su cui stai applicando il criterio dell'organizzazione. Le condizioni per i vincoli personalizzati sono definite utilizzando Common Expression Language (CEL). Per ulteriori informazioni su come creare condizioni nei vincoli personalizzati utilizzando CEL, consulta la sezione CEL di Creazione e gestione di vincoli personalizzati.
Per creare un vincolo personalizzato, crea un file YAML utilizzando il seguente formato:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
Sostituisci quanto segue:
Per ulteriori informazioni su come creare un vincolo personalizzato, vedi Definizione di vincoli personalizzati.
Configurare un vincolo personalizzato
Dopo aver creato il file YAML per un nuovo vincolo personalizzato, devi configurarlo per renderlo disponibile per i criteri dell'organizzazione nella tua organizzazione. Per configurare un vincolo personalizzato, utilizza il comandogcloud org-policies set-custom-constraint
:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH
con il percorso completo del file di vincoli personalizzati. Ad esempio: /home/user/customconstraint.yaml
.
Una volta completati, i vincoli personalizzati sono disponibili come policy dell'organizzazione
nell'elenco delle policy dell'organizzazione Google Cloud .
Per verificare che il vincolo personalizzato esista, utilizza il comando
gcloud org-policies list-custom-constraints
:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID
con l'ID della risorsa dell'organizzazione.
Per saperne di più, consulta
Visualizzare le policy dell'organizzazione.
Applicare una policy dell'organizzazione personalizzata
Puoi applicare un vincolo creando un criterio dell'organizzazione che lo fa riferimento e poi applicando questo criterio dell'organizzazione a una risorsa. Google CloudConsole
gcloud
Per creare una policy dell'organizzazione con regole booleane, crea un file YAML della policy che faccia riferimento al vincolo:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
Sostituisci quanto segue:
Per applicare il criterio dell'organizzazione contenente il vincolo, esegui questo comando:
gcloud org-policies set-policy POLICY_PATH
Sostituisci POLICY_PATH
con il percorso completo del file YAML del criterio dell'organizzazione. L'applicazione del criterio richiede fino a 15 minuti.
Testa il criterio dell'organizzazione personalizzato
L'esempio seguente mostra come creare un vincolo e un criterio personalizzati che garantiscano l'applicazione del criterio di Autorizzazione binaria all'interno di un progetto, impedendo i deployment quando mancano le attestazioni.
Prima di iniziare, assicurati di:
Crea il vincolo
Crea la policy
Dopo aver applicato il criterio, attendi circa due minuti prima che Google Cloud inizi a applicarlo.
Testare la policy
cat > binauthzPolicy.yaml << EOM
globalPolicyEvaluationMode: DISABLE
defaultAdmissionRule:
evaluationMode: ALWAYS_DENY
enforcementMode: DRYRUN_AUDIT_LOG_ONLY
EOM
gcloud container binauthz policy import binauthzPolicy.yaml '--format=json'
L'output è il seguente:
Operation denied by org policy: ["customConstraints/custom.ensureBinaryAuthorizationEnforcementEnabled": "Pod deployment should be blocked when admission rule are not satisfied."].
Esempi di norme personalizzate dell'organizzazione per i casi d'uso comuni
La tabella seguente fornisce la sintassi di alcuni vincoli personalizzati per casi d'uso comuni:
Descrizione | Sintassi del vincolo |
---|---|
Assicurati che le attestazioni siano presenti nel criterio di Autorizzazione binaria |
name: organizations/ORGANIZATION_ID/customConstraints/custom.podCreationRequireAttestations resourceTypes: - binaryauthorization.googleapis.com/Policy methodTypes: - CREATE - UPDATE condition: "resource.defaultAdmissionRule.evaluationMode == 'REQUIRE_ATTESTATION'" actionType: ALLOW displayName: Attestations are required in Binary Authorization Policy description: Binary Authorization Policy evaluation requires attestations. |
Assicurati che un determinato attestatore sia presente per la regola di ammissione |
name: organizations/ORGANIZATION_ID/customConstraints/custom.policyWithParticularAttestor resourceTypes: - binaryauthorization.googleapis.com/Policy methodTypes: - CREATE - UPDATE condition: "resource.defaultAdmissionRule.requireAttestationsBy.size() > 0 && resource.defaultAdmissionRule.requireAttestationsBy.exists(value, value.matches(r'^projects/[^/]+/attestors/qa-attestor$'))" actionType: ALLOW displayName: Ensure Binary Authorization policy contains qa-attestor. description: Ensure Binary Authorization policy contains qa-attestor. |
Non consentire la creazione dell'attestatore se la descrizione è assente |
name: organizations/ORGANIZATION_ID/customConstraints/custom.enforceAttestorDescription resourceTypes: - binaryauthorization.googleapis.com/Attestor methodTypes: - CREATE - UPDATE condition: "resource.description == ''" actionType: DENY displayName: Deny Attestor creation that have no description. description: Binary Authorization Attestor should have description associated with it. |
Consenti solo un algoritmo di firma specifico per una chiave |
name: organizations/ORGANIZATION_ID/customConstraints/custom.allowParticularKeySignatureAlgorithm resourceTypes: - binaryauthorization.googleapis.com/Attestor methodTypes: - CREATE - UPDATE condition: "resource.userOwnedGrafeasNote.publicKeys.all(publicKey, publicKey.pkixPublicKey.signatureAlgorithm == 'ECDSA_P256_SHA256')" actionType: ALLOW displayName: Allow particular signature algorithm description: Only particular signature Algorithm is allowed. |
Risorse supportate da Autorizzazione binaria
La tabella seguente elenca le risorse di Autorizzazione binaria a cui puoi fare riferimento nei vincoli personalizzati.Risorsa | Campo |
---|---|
binaryauthorization.googleapis.com/Attestor |
resource.description
|
resource.name
| |
resource.userOwnedGrafeasNote.noteReference
| |
resource.userOwnedGrafeasNote.publicKeys.asciiArmoredPgpPublicKey
| |
resource.userOwnedGrafeasNote.publicKeys.comment
| |
resource.userOwnedGrafeasNote.publicKeys.pkixPublicKey.keyId
| |
resource.userOwnedGrafeasNote.publicKeys.pkixPublicKey.publicKeyPem
| |
resource.userOwnedGrafeasNote.publicKeys.pkixPublicKey.signatureAlgorithm
| |
binaryauthorization.googleapis.com/Policy |
resource.admissionWhitelistPatterns.namePattern
|
resource.clusterAdmissionRules[*].enforcementMode
| |
resource.clusterAdmissionRules[*].evaluationMode
| |
resource.clusterAdmissionRules[*].requireAttestationsBy
| |
resource.defaultAdmissionRule.enforcementMode
| |
resource.defaultAdmissionRule.evaluationMode
| |
resource.defaultAdmissionRule.requireAttestationsBy
| |
resource.description
| |
resource.globalPolicyEvaluationMode
| |
resource.istioServiceIdentityAdmissionRules[*].enforcementMode
| |
resource.istioServiceIdentityAdmissionRules[*].evaluationMode
| |
resource.istioServiceIdentityAdmissionRules[*].requireAttestationsBy
| |
resource.kubernetesNamespaceAdmissionRules[*].enforcementMode
| |
resource.kubernetesNamespaceAdmissionRules[*].evaluationMode
| |
resource.kubernetesNamespaceAdmissionRules[*].requireAttestationsBy
| |
resource.kubernetesServiceAccountAdmissionRules[*].enforcementMode
| |
resource.kubernetesServiceAccountAdmissionRules[*].evaluationMode
| |
resource.kubernetesServiceAccountAdmissionRules[*].requireAttestationsBy
|