Configura un criterio utilizzando la console Google Cloud

Questa pagina fornisce le istruzioni per configurare un criterio di autorizzazione binaria utilizzando la console Google Cloud . In alternativa, puoi eseguire queste attività utilizzando Google Cloud CLI o l'API REST. Questo passaggio fa parte della configurazione di Autorizzazione binaria.

Un criterio è un insieme di regole che regolano il deployment di una o più immagini container.

Prima di iniziare

1. Attiva Autorizzazione binaria.

2. Attiva Autorizzazione binaria per la tua piattaforma:

   • Utenti di Google Kubernetes Engine (GKE): crea un cluster con Autorizzazione binaria abilitata.

   • Utenti di Cloud Run: attiva Autorizzazione binaria sul tuo servizio.

3. Se intendi utilizzare le attestazioni, ti consigliamo di creare gli attestatori prima di configurare i criteri. Puoi creare attestatori utilizzando la Google Cloud console o tramite uno strumento a riga di comando.

4. Seleziona l'ID progetto per il progetto in cui hai attivato Autorizzazione binarian.

Impostare la regola predefinita

Questa sezione si applica a GKE, GKE Multi-Cloud, Distributed Cloud, Cloud Run e Cloud Service Mesh.

Una regola è la parte di un criterio che definisce i vincoli che le immagini devono soddisfare prima di poter essere implementate. La regola predefinita definisce i vincoli che si applicano a tutte le immagini container non esenti che non hanno regole specifiche del cluster. Ogni criterio ha una regola predefinita.

Per impostare la regola predefinita:

1. Nella Google Cloud console, vai alla pagina Autorizzazione binaria.

   Vai alla pagina Autorizzazione binaria

2. Fai clic sulla scheda Norme.

3. Fai clic su Modifica criterio.

4. Imposta la modalità di valutazione per la regola predefinita.

   La modalità di valutazione specifica il tipo di vincolo che Autorizzazione binaria applica al momento del deployment. Per impostare la modalità di valutazione, seleziona una delle seguenti opzioni:

   • Consenti tutte le immagini: consente il deployment di tutte le immagini.
   • Nega tutte le immagini: impedisce il deployment di tutte le immagini.
   • Consenti solo le immagini approvate dai seguenti attestatori: Consente il deployment di un'immagine se questa ha una o più attestazioni che possono essere verificate da tutti gli attestatori che aggiungi a questa regola. Per scoprire di più sulla creazione di attestatori, consulta Creazione di attestatori.

   Se hai selezionato Consenti solo le immagini approvate dai seguenti attestatori:

   1. Recupera il nome o l'ID risorsa del tuo attestatore.

      Nella consoleGoogle Cloud , nella pagina Attestatori, puoi visualizzare gli attestatori esistenti o crearne uno nuovo.

      Vai alla pagina Attestatori di autorizzazione binaria

   2. Fai clic su Aggiungi attestatori.

   3. Seleziona una delle seguenti opzioni:

      • Aggiungi in base a nome progetto e attestatore

        Il progetto si riferisce all'ID progetto che archivia i tuoi attestatori. Un esempio di nome di attestatore è build-qa.

      • Aggiungi tramite ID risorsa attestatore

        Un ID risorsa ha il seguente formato:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME
        

   4. In Attestanti, inserisci i valori appropriati per l'opzione che hai selezionato.

   5. Fai clic su Aggiungi un altro attestatore se vuoi aggiungere altri attestatori.

   6. Fai clic su Aggiungi attestatore/i per salvare la regola.

Se vuoi attivare la modalità di prova, procedi come segue:

1. Seleziona Modalità dry run.

2. Fai clic su Save Policy (Salva criterio).

Imposta regole specifiche per il cluster (facoltativo)

Questa sezione si applica a GKE, Distributed Cloud e Cloud Service Mesh.

Un criterio può anche avere una o più regole specifiche per il cluster. Questo tipo di regola si applica solo alle immagini container da eseguire il deployment in cluster Google Kubernetes Engine (GKE) specifici. Le regole specifiche per il cluster sono una parte facoltativa di un criterio.

Aggiungere una regola specifica per il cluster (GKE)

Questa sezione si applica a GKE e Distributed Cloud.

Per aggiungere una regola specifica per un cluster GKE, procedi nel seguente modo:

1. Nella Google Cloud console, vai alla pagina Autorizzazione binaria.

   Vai alla pagina Autorizzazione binaria

2. Fai clic sulla scheda Norme.

3. Fai clic su Modifica criterio.

4. Espandi la sezione Impostazioni aggiuntive per i deployment GKE e GKE Enterprise.

5. Se non è impostato alcun tipo di regola specifico, fai clic su Crea regole specifiche.

   1. Per selezionare il tipo di regola, fai clic su Tipo di regola specifico.

   2. Per modificare il tipo di regola, fai clic su Modifica.

6. Fai clic su Aggiungi regola specifica.

7. Nel campo ID risorsa cluster, inserisci l'ID risorsa per il cluster.

   L'ID risorsa del cluster ha il formato LOCATION.NAME, ad esempio, us-central1-a.test-cluster.

8. Imposta la modalità di valutazione per la regola predefinita.

   La modalità di valutazione specifica il tipo di vincolo che Autorizzazione binaria applica al momento del deployment. Per impostare la modalità di valutazione, seleziona una delle seguenti opzioni:

   • Consenti tutte le immagini: consente il deployment di tutte le immagini.
   • Nega tutte le immagini: impedisce il deployment di tutte le immagini.
   • Consenti solo le immagini approvate dai seguenti attestatori: Consente il deployment di un'immagine se questa ha una o più attestazioni che possono essere verificate da tutti gli attestatori che aggiungi a questa regola. Per scoprire di più sulla creazione di attestatori, consulta Creazione di attestatori.

   Se hai selezionato Consenti solo le immagini approvate dai seguenti attestatori:

   1. Recupera il nome o l'ID risorsa del tuo attestatore.

      Nella consoleGoogle Cloud , nella pagina Attestatori, puoi visualizzare gli attestatori esistenti o crearne uno nuovo.

      Vai alla pagina Attestatori di autorizzazione binaria

   2. Fai clic su Aggiungi attestatori.

   3. Seleziona una delle seguenti opzioni:

      • Aggiungi in base a nome progetto e attestatore

        Il progetto si riferisce all'ID progetto che archivia i tuoi attestatori. Un esempio di nome di attestatore è build-qa.

      • Aggiungi tramite ID risorsa attestatore

        Un ID risorsa ha il seguente formato:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME
        

   4. In Attestanti, inserisci i valori appropriati per l'opzione che hai selezionato.

   5. Fai clic su Aggiungi un altro attestatore se vuoi aggiungere altri attestatori.

   6. Fai clic su Aggiungi attestatore/i per salvare la regola.

9. Fai clic su Aggiungi per aggiungere la regola specifica per il cluster.

   Potresti visualizzare un messaggio che indica che questo cluster non esiste. Questa regola avrà comunque effetto se il cluster diventerà disponibile in GKE in futuro." In questo caso, fai di nuovo clic su Aggiungi per salvare la regola.

10. Se vuoi attivare la modalità dry run, seleziona Modalità dry run.

11. Fai clic su Save Policy (Salva criterio).

Aggiungi una regola specifica per il cluster (GKE Multi-Cloud,Distributed Cloud)

Questa sezione si applica a Distributed Cloud.

Per aggiungere una regola specifica per un cluster GKE, procedi nel seguente modo:

1. Nella Google Cloud console, vai alla pagina Autorizzazione binaria.

   Vai alla pagina Autorizzazione binaria

2. Fai clic sulla scheda Norme.

3. Fai clic su Modifica criterio.

4. Espandi la sezione Impostazioni aggiuntive per i deployment GKE e GKE Enterprise.

5. Se non è impostato alcun tipo di regola specifico, fai clic su Crea regole specifiche.

   1. Per selezionare il tipo di regola, fai clic su Tipo di regola specifico.

   2. Per aggiornare il tipo di regola, fai clic su Modifica.

6. Fai clic su Aggiungi regola specifica.

7. Nel campo ID risorsa cluster, inserisci l'ID risorsa per il cluster.

   • Per i cluster collegati a GKE e GKE su AWS, il formato è CLUSTER_LOCATION.CLUSTER_NAME, ad esempio us-central1-a.test-cluster.
   • Per Google Distributed Cloud e Google Distributed Cloud, il formato è FLEET_MEMBERSHIP_LOCATION.FLEET_MEMBERSHIP_ID, ad esempio global.test-membership.

8. Imposta la modalità di valutazione per la regola predefinita.

   La modalità di valutazione specifica il tipo di vincolo che Autorizzazione binaria applica al momento del deployment. Per impostare la modalità di valutazione, seleziona una delle seguenti opzioni:

   • Consenti tutte le immagini: consente il deployment di tutte le immagini.
   • Nega tutte le immagini: impedisce il deployment di tutte le immagini.
   • Consenti solo le immagini approvate dai seguenti attestatori: Consente il deployment di un'immagine se questa ha una o più attestazioni che possono essere verificate da tutti gli attestatori che aggiungi a questa regola. Per scoprire di più sulla creazione di attestatori, consulta Creazione di attestatori.

   Se hai selezionato Consenti solo le immagini approvate dai seguenti attestatori:

   1. Recupera il nome o l'ID risorsa del tuo attestatore.

      Nella consoleGoogle Cloud , nella pagina Attestatori, puoi visualizzare gli attestatori esistenti o crearne uno nuovo.

      Vai alla pagina Attestatori di autorizzazione binaria

   2. Fai clic su Aggiungi attestatori.

   3. Seleziona una delle seguenti opzioni:

      • Aggiungi in base a nome progetto e attestatore

        Il progetto si riferisce all'ID progetto che archivia i tuoi attestatori. Un esempio di nome di attestatore è build-qa.

      • Aggiungi tramite ID risorsa attestatore

        Un ID risorsa ha il seguente formato:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME
        

   4. In Attestanti, inserisci i valori appropriati per l'opzione che hai selezionato.

   5. Fai clic su Aggiungi un altro attestatore se vuoi aggiungere altri attestatori.

   6. Fai clic su Aggiungi attestatore/i per salvare la regola.

9. Fai clic su Aggiungi per salvare la regola.

   Potresti visualizzare il messaggio "Sembra che questo cluster non esista. Questa regola ha comunque effetto se il cluster specificato diventerà disponibile in GKE in futuro". In questo caso, fai di nuovo clic su Aggiungi per salvare la regola.

10. Se vuoi attivare la modalità dry run, seleziona Modalità dry run.

11. Fai clic su Save Policy (Salva criterio).

Aggiungere regole specifiche

Puoi creare regole con ambito limitato a un'identità di servizio mesh, a un account di servizio Kubernetes o a uno spazio dei nomi Kubernetes. Puoi aggiungere o modificare una regola specifica nel seguente modo:

1. Nella Google Cloud console, vai alla pagina Autorizzazione binaria.

   Vai alla pagina Autorizzazione binaria

2. Fai clic sulla scheda Norme.

3. Fai clic su Modifica criterio.

4. Espandi la sezione Impostazioni aggiuntive per i deployment GKE e Anthos.

5. Se non è impostato alcun tipo di regola specifico, fai clic su Crea regole specifiche.

   1. Fai clic su Tipo di regola specifico per selezionare il tipo di regola.

   2. Fai clic su Modifica per aggiornare il tipo di regola.

6. Se il tipo di regola specifico esiste, puoi modificarlo facendo clic su Modifica tipo.

7. Per aggiungere una regola specifica, fai clic su Aggiungi regola specifica. A seconda del tipo di regola scelto, inserisci un ID come segue:

   • Identità di servizio ASM: inserisci l'identità di servizio ASM, che ha il seguente formato: PROJECT_ID.svc.id.goog/ns/NAMESPACE/sa/SERVICE_ACCOUNT
   • Service account Kubernetes: inserisci il account di servizio Kubernetes, che ha il seguente formato: NAMESPACE:SERVICE_ACCOUNT.
   • Spazio dei nomi Kubernetes: inserisci lo spazio dei nomi Kubernetes, che ha il seguente formato: NAMESPACE

   Sostituisci quanto segue, se necessario, a seconda del tipo di regola:

   • PROJECT_ID: l'ID progetto in cui definisci le tue risorse Kubernetes.
   • NAMESPACE: lo spazio dei nomi Kubernetes.
   • SERVICE_ACCOUNT: il account di servizio.

8. Imposta la modalità di valutazione per la regola predefinita.

   La modalità di valutazione specifica il tipo di vincolo che Autorizzazione binaria applica al momento del deployment. Per impostare la modalità di valutazione, seleziona una delle seguenti opzioni:

   • Consenti tutte le immagini: consente il deployment di tutte le immagini.
   • Nega tutte le immagini: impedisce il deployment di tutte le immagini.
   • Consenti solo le immagini approvate dai seguenti attestatori: Consente il deployment di un'immagine se questa ha una o più attestazioni che possono essere verificate da tutti gli attestatori che aggiungi a questa regola. Per scoprire di più sulla creazione di attestatori, consulta Creazione di attestatori.

   Se hai selezionato Consenti solo le immagini approvate dai seguenti attestatori:

   1. Recupera il nome o l'ID risorsa del tuo attestatore.

      Nella consoleGoogle Cloud , nella pagina Attestatori, puoi visualizzare gli attestatori esistenti o crearne uno nuovo.

      Vai alla pagina Attestatori di autorizzazione binaria

   2. Fai clic su Aggiungi attestatori.

   3. Seleziona una delle seguenti opzioni:

      • Aggiungi in base a nome progetto e attestatore

        Il progetto si riferisce all'ID progetto che archivia i tuoi attestatori. Un esempio di nome di attestatore è build-qa.

      • Aggiungi tramite ID risorsa attestatore

        Un ID risorsa ha il seguente formato:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME
        

   4. In Attestanti, inserisci i valori appropriati per l'opzione che hai selezionato.

   5. Fai clic su Aggiungi un altro attestatore se vuoi aggiungere altri attestatori.

   6. Fai clic su Aggiungi attestatore/i per salvare la regola.

9. Fai clic su Modalità dry run per attivare la modalità dry run.

10. Fai clic su Aggiungi per salvare la regola specifica.

11. Fai clic su Save Policy (Salva criterio).

Gestire le immagini esenti

Questa sezione si applica a GKE, Distributed Cloud, Cloud Run e Cloud Service Mesh.

Un'immagine esente è un'immagine, specificata da un percorso, esente dalle regole delle norme. Autorizzazione binaria consente sempre il deployment delle immagini esenti.

Questo percorso può specificare una posizione in Container Registry o in un altro registro di immagini container.

Cloud Run

Questa sezione si applica a Cloud Run.

Non puoi specificare direttamente i nomi delle immagini che contengono un tag. Ad esempio, non puoi specificare IMAGE_PATH:latest.

Se vuoi specificare nomi di immagini che contengono tag, devi specificare il nome dell'immagine utilizzando un carattere jolly nel seguente modo:

• * per tutte le versioni di una singola immagine, ad esempio us-docker.pkg.dev/myproject/container/hello@*
• ** per tutte le immagini di un progetto, ad esempio us-docker.pkg.dev/myproject/**

Puoi utilizzare i nomi dei percorsi per specificare un digest nel formato IMAGE_PATH@DIGEST.

Attiva la policy di sistema

Questa sezione si applica a GKE e Distributed Cloud.

Accetta tutte le immagini di sistema fornite da Google è un'impostazione dei criteri che attiva i criteri di sistema di Autorizzazione binaria. Se questa impostazione è abilitata al momento del deployment, l'autorizzazione binaria esenta un elenco di immagini di sistema gestite da Google richieste da GKE da ulteriori valutazioni delle policy. La policy di sistema viene valutata prima di qualsiasi altra impostazione dei criteri.

Per attivare la policy di sistema:

1. Vai alla pagina Autorizzazione binaria nella consoleGoogle Cloud .

   Vai all'autorizzazione binaria

2. Fai clic su Modifica criterio.

3. Espandi la sezione Impostazioni aggiuntive per i deployment GKE e Anthos.

4. Seleziona Accetta tutte le immagini di sistema fornite da Google nella sezione Esenzione immagini di sistema Google.

   Per visualizzare le immagini esenti dalle norme di sistema, fai clic su Visualizza dettagli.

5. Per specificare manualmente altre immagini esenti, espandi la sezione Regole di esenzione personalizzate nella sezione Immagini esenti da queste norme.

   Poi, fai clic su Aggiungi pattern immagine e inserisci il percorso del registro di qualsiasi immagine aggiuntiva che vuoi esentare.

6. Fai clic su Save Policy (Salva criterio).

Passaggi successivi

• Utilizza l'attestatore built-by-cloud-build per eseguire il deployment solo delle immagini create da Cloud Build (anteprima).
• Utilizza le attestazioni.
• Esegui il deployment di un'immagine GKE.
• Visualizza gli eventi di Cloud Audit Logs.
• Utilizza la convalida continua.
• Utilizza la convalida continua legacy (ritirata) per verificare la conformità alle norme.