Questa pagina fornisce le istruzioni per configurare un criterio di Autorizzazione binaria utilizzando Google Cloud CLI. In alternativa, puoi anche eseguire queste attività utilizzando la console Google Cloud o l'API REST. Questo passaggio fa parte della configurazione di Autorizzazione binaria.
Per configurare un criterio utilizzando lo strumento a riga di comando, devi esportare il criterio esistente come file YAML. Dopo aver modificato il file, puoi importarlo per aggiornare il criterio, come descritto più avanti in questa guida. Per maggiori informazioni sul formato YAML dei criteri, consulta la pagina Riferimento YAML per i criteri.
Prima di iniziare
- Abilita Autorizzazione binaria.
- Crea un cluster.
- Se intendi utilizzare le attestations, ti consigliamo di creare attestatori prima di configurare il criterio. Puoi creare attestatori utilizzando uno strumento a riga di comando o tramite la console Google Cloud.
Imposta l'ID progetto sul progetto in cui hai abilitato Autorizzazione binaria:
PROJECT_ID=PROJECT_ID gcloud config set project ${PROJECT_ID}
Esporta il file YAML del criterio
Questa sezione si applica a GKE, cluster GKE, Cloud Run e Anthos Service Mesh.
Per aggiornare il criterio, devi prima esportarlo in un file YAML locale, come segue:
gcloud container binauthz policy export > /tmp/policy.yaml
Per impostazione predefinita, i contenuti del file sono simili ai seguenti:
defaultAdmissionRule: enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG evaluationMode: ALWAYS_ALLOW globalPolicyEvaluationMode: ENABLE name: projects/PROJECT_ID/policy
Per modificare il criterio, modifica il file e aggiungi o aggiorna le sezioni, come descritto più avanti in questa guida. Dopo aver salvato il file, puoi importare il criterio.
Per aggiungere un'immagine esente alla lista consentita, aggiungi quanto segue al file dei criteri:
admissionWhitelistPatterns: - namePattern: EXEMPT_IMAGE_PATH
Sostituisci EXEMPT_IMAGE_PATH con il percorso dell'immagine da escludere. Per escludere altre immagini, aggiungi altre voci - namePattern. Scopri di più su admissionWhitelistPatterns.
Impostare la regola predefinita
Questa sezione si applica a GKE, cluster GKE, Cloud Run e Anthos Service Mesh.
Una regola è la parte di un criterio che definisce i vincoli che le immagini container devono soddisfare prima di poterne eseguire il deployment. La regola predefinita definisce i vincoli che si applicano a tutte le immagini non esenti che non hanno una propria regola specifica per il cluster. Ogni criterio deve avere una regola predefinita.
La regola predefinita è definita nel nodo defaultAdmissionRule del file YAML del criterio. Per ulteriori informazioni sulle parti di questa regola, consulta ADMISSION_RULE nel riferimento YAML dei criteri. Per esempi di regole predefinite, vedi Criteri di esempio.
Per impostare la regola predefinita, modifica il nodo defaultAdmissionRule nel
file policy.yaml come richiesto:
defaultAdmissionRule: evaluationMode: EVALUATION_MODE enforcementMode: ENFORCEMENT_MODE requireAttestationsBy: - ATTESTOR - ...
Sostituisci quanto segue:
EVALUATION_MODE: la modalità di valutazione specifica il tipo di vincolo che il sistema di applicazione di Autorizzazione binaria applica al momento del deployment. Sostituisci EVALUATION_MODE con una delle seguenti opzioni:
ALWAYS_ALLOW: consente il deployment di tutte le immagini.ALWAYS_DENY: non consente il deployment di tutte le immagini.REQUIRE_ATTESTATION: consente il deployment di un'immagine se questa ha una o più attestazioni verificabili da tutti gli attestatori aggiunti a questa regola. Al momento del deployment, il sistema di applicazione verifica l'attestazione utilizzando gli attestatori aggiunti all'elenco ATTESTOR in questa regola. Per scoprire di più sulla creazione degli attestatori, consulta Creazione di attestatori. Se specifichiREQUIRE_ATTESTATION, devi anche aggiungere un bloccorequireAttestationsBycontenente almeno un attestatore. Per scoprire di più sulla creazione degli attestatori, consulta Creazione di attestatori.
ENFORCEMENT_MODE: la modalità di applicazione forzata specifica il modo in cui il sistema di applicazione delle norme risponde quando un'immagine viola una regola. Sostituisci ENFORCEMENT_MODE con uno dei seguenti valori:
ENFORCED_BLOCK_AND_AUDIT_LOG: blocca le immagini che violano la regola e registra le informazioni sulla violazione in Cloud Audit Logs (impostazione predefinita).DRYRUN_AUDIT_LOG_ONLY: consenti il deployment di tutte le immagini, ma registra le informazioni sull'applicazione forzata, incluse le informazioni sulle violazioni, in Cloud Audit Logs.
ATTESTOR: se imposti
EVALUATION_MODEsuREQUIRE_ATTESTATION, devi aggiungere anche un blocco requireAttesationsBy. Nel blocco vengono elencati uno o più attestatori, per ID risorsa. L'ID risorsa ha il seguente formato:projects/PROJECT_ID/attestors/ATTESTOR_NAME.Per scoprire di più sulla creazione di attestatori, consulta Creazione di attestatori.
Gestisci immagini esenti
Questa sezione si applica a GKE, cluster GKE, Cloud Run e Anthos Service Mesh.
Un'immagine esente è un'immagine esente dalle regole dei criteri. Autorizzazione binaria consente sempre il deployment delle immagini esenti.
Puoi specificare le immagini esenti elencando i relativi percorsi del Registro di sistema in
admissionWhitelistPatterns. Il percorso fa riferimento a Container Registry o a un altro registro di immagini. Al momento del deployment, Autorizzazione binaria esenta l'elenco delle immagini specificate da admissionWhitelistPatterns dopo le immagini specificate dal criterio di sistema.
Per aggiungere un'immagine esente, aggiungi un nodo namePattern in un elenco
admissionWhitelistPatterns
nel file policy.yaml:
admissionWhitelistPatterns: - namePattern: MATCHING_PATTERN
Sostituisci MATCHING_PATTERN con il percorso di una singola immagine del registro per corrispondenza esatta o con il percorso di una qualsiasi immagine corrispondente a un pattern utilizzando il simbolo del carattere jolly (*, **).
Cloud Run
Questa sezione riguarda Cloud Run.
Non puoi specificare direttamente nomi di immagini che contengono un tag. Ad esempio, non puoi specificare IMAGE_PATH:più recente.
Se vuoi specificare nomi di immagini che contengono tag, devi specificare il nome dell'immagine utilizzando un caratteri jolly nel modo seguente:
*per tutte le versioni di una singola immagine; ad esempio,us-docker.pkg.dev/myproject/container/hello@***per tutte le immagini in un progetto; ad esempio,us-docker.pkg.dev/myproject/**
Puoi utilizzare i nomi di percorso per specificare un digest nel formato
IMAGE_PATH@DIGEST.
Modalità di valutazione dei criteri di sistema
Questa sezione si applica ai cluster GKE e GKE.
La modalità di valutazione dei criteri di sistema è un'impostazione di un criterio che fa sì che Autorizzazione binaria valuti un criterio di sistema prima di valutare il criterio che configuri. Google gestisce il criterio di sistema, che esenta un elenco di immagini di sistema gestite da Google utilizzate da GKE. Le immagini elencate nel criterio di sistema non sono bloccate dall'applicazione del criterio. Se non abiliti l'impostazione, devi gestire autonomamente l'elenco delle immagini esenti. Scopri come gestire le immagini esenti.
Puoi visualizzare i contenuti del criterio di sistema utilizzando il seguente comando:
gcloud alpha container binauthz policy export-system-policy
Per attivare la modalità di valutazione dei criteri di sistema, aggiungi la seguente riga al file policy.yaml:
globalPolicyEvaluationMode: ENABLE
Per disabilitare la modalità di valutazione dei criteri di sistema, aggiungi quanto segue:
globalPolicyEvaluationMode: DISABLE
Puoi esportare il criterio di sistema associato a una regione specifica come segue:
gcloud alpha container binauthz policy export-system-policy \
--location=REGION > /tmp/policy.yaml
Sostituisci REGION con la regione associata al criterio di sistema che vuoi esportare (o "globale"). Esempi: asia-east1,
europe-west1, us-central1.
Se ometti --location o specifichi --location=global, il comando genera un criterio di sistema da una regione nell'ultimo gruppo di regioni a ricevere aggiornamenti. Poiché la maggior parte delle modifiche ai criteri di sistema sono aggiunte, l'output mostra l'insieme di immagini di sistema attualmente consentite in tutte le regioni.
Imposta regole specifiche per il cluster (facoltativo)
Questa sezione si applica ai cluster GKE e GKE.
Un cluster può anche avere una o più regole specifiche del cluster. Questo tipo di regola si applica alle immagini di cui deve essere eseguito il deployment solo in cluster GKE specifici. Le regole specifiche per i cluster sono facoltative di un criterio.
Le regole specifiche del cluster sono definite nei nodi clusterAdmissionRules nel file YAML del criterio. Per ulteriori informazioni sulle parti di questa regola, consulta ADMISSION_RULE nel riferimento YAML dei criteri. Per un esempio, consulta Utilizzare una regola specifica per il cluster in Criteri di esempio.
Per aggiungere una regola specifica per il cluster:
Nel file policy.yaml, aggiungi un nodo clusterAdmissionRules:
clusterAdmissionRules:
CLUSTER_SPECIFIER:
evaluationMode: EVALUATION_MODE
enforcementMode: ENFORCEMENT_MODE
requireAttestationsBy:
- ATTESTOR
- ...
Sostituisci quanto segue:
CLUSTER_SPECIFIER: l'ID risorsa del cluster a cui si applica la regola. La regola viene formattata nel seguente modo:
- Per GKE, i cluster collegati a GKE e
GKE su AWS, il formato è
CLUSTER_LOCATION.CLUSTER_NAME, ad esempious-central1-a.test-cluster. Per GKE su Bare Metal e GKE su VMware, il formato è
FLEET_MEMBERSHIP_LOCATION.FLEET_MEMBERSHIP_ID, ad esempioglobal.test-membership.Le altre proprietà sono descritte nella sezione Impostare la regola predefinita in precedenza in questa guida. Consulta i criteri di esempio per un esempio di regola specifica per il cluster.
- Per GKE, i cluster collegati a GKE e
GKE su AWS, il formato è
EVALUATION_MODE: la modalità di valutazione specifica il tipo di vincolo che il sistema di applicazione di Autorizzazione binaria applica al momento del deployment. Sostituisci EVALUATION_MODE con una delle seguenti opzioni:
ALWAYS_ALLOW: consente il deployment di tutte le immagini.ALWAYS_DENY: non consente il deployment di tutte le immagini.REQUIRE_ATTESTATION: consente il deployment di un'immagine se questa ha una o più attestazioni verificabili da tutti gli attestatori aggiunti a questa regola. Al momento del deployment, il sistema di applicazione verifica l'attestazione utilizzando gli attestatori aggiunti all'elenco ATTESTOR in questa regola. Per scoprire di più sulla creazione degli attestatori, consulta Creazione di attestatori. Se specifichiREQUIRE_ATTESTATION, devi anche aggiungere un bloccorequireAttestationsBycontenente almeno un attestatore. Per scoprire di più sulla creazione degli attestatori, consulta Creazione di attestatori.
ENFORCEMENT_MODE: la modalità di applicazione forzata specifica il modo in cui il sistema di applicazione delle norme risponde quando un'immagine viola una regola. Sostituisci ENFORCEMENT_MODE con uno dei seguenti valori:
ENFORCED_BLOCK_AND_AUDIT_LOG: blocca le immagini che violano la regola e registra le informazioni sulla violazione in Cloud Audit Logs (impostazione predefinita).DRYRUN_AUDIT_LOG_ONLY: consenti il deployment di tutte le immagini, ma registra le informazioni sull'applicazione forzata, incluse le informazioni sulle violazioni, in Cloud Audit Logs.
ATTESTOR: se imposti
EVALUATION_MODEsuREQUIRE_ATTESTATION, devi aggiungere anche un blocco requireAttesationsBy. Nel blocco vengono elencati uno o più attestatori, per ID risorsa. L'ID risorsa ha il seguente formato:projects/PROJECT_ID/attestors/ATTESTOR_NAME.Per scoprire di più sulla creazione di attestatori, consulta Creazione di attestatori.
Imposta regole specifiche (facoltativo)
Puoi creare regole che hanno come ambito un'identità di servizio mesh, un account di servizio Kubernetes o uno spazio dei nomi Kubernetes.
Imposta una regola per l'identità del servizio Anthos Service Mesh
Per impostare una regola per l'identità di servizio Anthos Service Mesh (Anteprima), modifica il file policy.yaml e aggiungi un blocco istioServiceIdentityAdmissionRules, ad esempio:
defaultAdmissionRule:
enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
evaluationMode: ALWAYS_DENY
globalPolicyEvaluationMode: ENABLE
istioServiceIdentityAdmissionRules:
SERVICE_IDENTITY_ID:
enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
evaluationMode: ENFORCEMENT_MODE
requireAttestationsBy:
- <var>ATTESTOR</var>
- ...
name: projects/PROJECT_ID/policy
Sostituisci quanto segue:
SERVICE_IDENTITY_ID: l'identità del servizio Anthos Service Mesh a cui definire l'ambito di questa regola. L'identità del servizio ha il seguente formato: PROJECT_ID.svc.id.goog/ns/NAMESPACE/sa/SERVICE_ACCOUNT. Nell'ID identità del servizio, sostituisci quanto segue:
- PROJECT_ID: l'ID progetto in cui definisci le risorse Kubernetes.
- NAMESPACE: lo spazio dei nomi di Kubernetes.
- SERVICE_ACCOUNT: l'account di servizio.
EVALUATION_MODE: la modalità di valutazione specifica il tipo di vincolo che il sistema di applicazione di Autorizzazione binaria applica al momento del deployment. Sostituisci EVALUATION_MODE con una delle seguenti opzioni:
ALWAYS_ALLOW: consente il deployment di tutte le immagini.ALWAYS_DENY: non consente il deployment di tutte le immagini.REQUIRE_ATTESTATION: consente il deployment di un'immagine se questa ha una o più attestazioni verificabili da tutti gli attestatori aggiunti a questa regola. Al momento del deployment, il sistema di applicazione verifica l'attestazione utilizzando gli attestatori aggiunti all'elenco ATTESTOR in questa regola. Per scoprire di più sulla creazione degli attestatori, consulta Creazione di attestatori. Se specifichiREQUIRE_ATTESTATION, devi anche aggiungere un bloccorequireAttestationsBycontenente almeno un attestatore. Per scoprire di più sulla creazione degli attestatori, consulta Creazione di attestatori.
ENFORCEMENT_MODE: la modalità di applicazione forzata specifica il modo in cui il sistema di applicazione delle norme risponde quando un'immagine viola una regola. Sostituisci ENFORCEMENT_MODE con uno dei seguenti valori:
ENFORCED_BLOCK_AND_AUDIT_LOG: blocca le immagini che violano la regola e registra le informazioni sulla violazione in Cloud Audit Logs (impostazione predefinita).DRYRUN_AUDIT_LOG_ONLY: consenti il deployment di tutte le immagini, ma registra le informazioni sull'applicazione forzata, incluse le informazioni sulle violazioni, in Cloud Audit Logs.
ATTESTOR: se imposti
EVALUATION_MODEsuREQUIRE_ATTESTATION, devi aggiungere anche un blocco requireAttesationsBy. Nel blocco vengono elencati uno o più attestatori, per ID risorsa. L'ID risorsa ha il seguente formato:projects/PROJECT_ID/attestors/ATTESTOR_NAME.Per scoprire di più sulla creazione di attestatori, consulta Creazione di attestatori.
Impostare una regola per un account di servizio Kubernetes
Per impostare una regola per un account di servizio Kubernetes, modifica il file policy.yaml e aggiungi un blocco kubernetesServiceAccountAdmissionRules, ad esempio:
defaultAdmissionRule:
enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
evaluationMode: ALWAYS_DENY
globalPolicyEvaluationMode: ENABLE
kubernetesServiceAccountAdmissionRules:
KUBERNETES_SERVICE_ACCOUNT_ID:
enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
evaluationMode: ENFORCEMENT_MODE
requireAttestationsBy:
- <var>ATTESTOR</var>
- ...
name: projects/PROJECT_ID/policy
Sostituisci quanto segue:
KUBERNETES_SERVICE_ACCOUNT_ID: l'account di servizio Kubernetes a cui definire l'ambito della regola. Questo ID account di servizio ha il formato: NAMESPACE:SERVICE_ACCOUNT. Nell'ID account di servizio, sostituisci quanto segue:
- NAMESPACE: lo spazio dei nomi di Kubernetes.
- SERVICE_ACCOUNT: il nome dell'account di servizio.
EVALUATION_MODE: la modalità di valutazione specifica il tipo di vincolo che il sistema di applicazione di Autorizzazione binaria applica al momento del deployment. Sostituisci EVALUATION_MODE con una delle seguenti opzioni:
ALWAYS_ALLOW: consente il deployment di tutte le immagini.ALWAYS_DENY: non consente il deployment di tutte le immagini.REQUIRE_ATTESTATION: consente il deployment di un'immagine se questa ha una o più attestazioni verificabili da tutti gli attestatori aggiunti a questa regola. Al momento del deployment, il sistema di applicazione verifica l'attestazione utilizzando gli attestatori aggiunti all'elenco ATTESTOR in questa regola. Per scoprire di più sulla creazione degli attestatori, consulta Creazione di attestatori. Se specifichiREQUIRE_ATTESTATION, devi anche aggiungere un bloccorequireAttestationsBycontenente almeno un attestatore. Per scoprire di più sulla creazione degli attestatori, consulta Creazione di attestatori.
ENFORCEMENT_MODE: la modalità di applicazione forzata specifica il modo in cui il sistema di applicazione delle norme risponde quando un'immagine viola una regola. Sostituisci ENFORCEMENT_MODE con uno dei seguenti valori:
ENFORCED_BLOCK_AND_AUDIT_LOG: blocca le immagini che violano la regola e registra le informazioni sulla violazione in Cloud Audit Logs (impostazione predefinita).DRYRUN_AUDIT_LOG_ONLY: consenti il deployment di tutte le immagini, ma registra le informazioni sull'applicazione forzata, incluse le informazioni sulle violazioni, in Cloud Audit Logs.
ATTESTOR: se imposti
EVALUATION_MODEsuREQUIRE_ATTESTATION, devi aggiungere anche un blocco requireAttesationsBy. Nel blocco vengono elencati uno o più attestatori, per ID risorsa. L'ID risorsa ha il seguente formato:projects/PROJECT_ID/attestors/ATTESTOR_NAME.Per scoprire di più sulla creazione di attestatori, consulta Creazione di attestatori.
Impostare una regola per uno spazio dei nomi Kubernetes
Per impostare una regola per uno spazio dei nomi Kubernetes, modifica il file policy.yaml e aggiungi un
blocco kubernetesNamespaceAdmissionRules, ad esempio:
defaultAdmissionRule:
enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
evaluationMode: ALWAYS_DENY
globalPolicyEvaluationMode: ENABLE
kubernetesNamespaceAdmissionRules:
KUBERNETES_NAMESPACE:
enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
evaluationMode: EVALUATION_MODE
requireAttestationsBy:
- <var>ATTESTOR</var>
- ...
name: projects/PROJECT_ID/policy
Sostituisci quanto segue:
KUBERNETES_NAMESPACE: lo spazio dei nomi Kubernetes a cui definire l'ambito di questa regola.
EVALUATION_MODE: la modalità di valutazione specifica il tipo di vincolo che il sistema di applicazione di Autorizzazione binaria applica al momento del deployment. Sostituisci EVALUATION_MODE con una delle seguenti opzioni:
ALWAYS_ALLOW: consente il deployment di tutte le immagini.ALWAYS_DENY: non consente il deployment di tutte le immagini.REQUIRE_ATTESTATION: consente il deployment di un'immagine se questa ha una o più attestazioni verificabili da tutti gli attestatori aggiunti a questa regola. Al momento del deployment, il sistema di applicazione verifica l'attestazione utilizzando gli attestatori aggiunti all'elenco ATTESTOR in questa regola. Per scoprire di più sulla creazione degli attestatori, consulta Creazione di attestatori. Se specifichiREQUIRE_ATTESTATION, devi anche aggiungere un bloccorequireAttestationsBycontenente almeno un attestatore. Per scoprire di più sulla creazione degli attestatori, consulta Creazione di attestatori.
ENFORCEMENT_MODE: la modalità di applicazione forzata specifica il modo in cui il sistema di applicazione delle norme risponde quando un'immagine viola una regola. Sostituisci ENFORCEMENT_MODE con uno dei seguenti valori:
ENFORCED_BLOCK_AND_AUDIT_LOG: blocca le immagini che violano la regola e registra le informazioni sulla violazione in Cloud Audit Logs (impostazione predefinita).DRYRUN_AUDIT_LOG_ONLY: consenti il deployment di tutte le immagini, ma registra le informazioni sull'applicazione forzata, incluse le informazioni sulle violazioni, in Cloud Audit Logs.
ATTESTOR: se imposti
EVALUATION_MODEsuREQUIRE_ATTESTATION, devi aggiungere anche un blocco requireAttesationsBy. Nel blocco vengono elencati uno o più attestatori, per ID risorsa. L'ID risorsa ha il seguente formato:projects/PROJECT_ID/attestors/ATTESTOR_NAME.Per scoprire di più sulla creazione di attestatori, consulta Creazione di attestatori.
Importa il file YAML del criterio
Questa sezione si applica a GKE, cluster GKE, Cloud Run e Anthos Service Mesh.
Importa nuovamente il file YAML del criterio in Autorizzazione binaria inserendo quanto segue:
gcloud container binauthz policy import /tmp/policy.yaml
Passaggi successivi
- Utilizza l'attestatore
built-by-cloud-buildper eseguire il deployment solo delle immagini create da Cloud Build (anteprima). - Utilizzare le attestazioni.
- Esegui il deployment di un'immagine GKE.