Questa pagina fornisce le istruzioni per configurare un criterio di Autorizzazione binaria utilizzando la console Google Cloud. In alternativa, puoi eseguire queste attività utilizzando Google Cloud CLI o l'API REST. Questo passaggio fa parte della configurazione di Autorizzazione binaria.
Un criterio è un insieme di regole che regolano il deployment di una o più immagini container.
Prima di iniziare
Abilita Autorizzazione binaria per la tua piattaforma:
Utenti di Google Kubernetes Engine (GKE): crea un cluster con Autorizzazione binaria abilitata.
Utenti di Cloud Run: abilita Autorizzazione binaria sul tuo servizio.
Se intendi utilizzare le attestations, ti consigliamo di creare attestatori prima di configurare il criterio. Puoi creare attestatori utilizzando la console Google Cloud o uno strumento a riga di comando.
Seleziona l'ID per il progetto in cui hai abilitato Autorizzazione binaria.
Impostare la regola predefinita
Questa sezione si applica a GKE, cluster GKE, Cloud Run e Anthos Service Mesh.
Una regola è la parte di un criterio che definisce i vincoli che le immagini devono soddisfare prima di poterne eseguire il deployment. La regola predefinita definisce i vincoli che si applicano a tutte le immagini container non esenti che non hanno regole specifiche per il cluster. Ogni criterio ha una regola predefinita.
Per impostare la regola predefinita:
Nella console Google Cloud, vai alla pagina Autorizzazione binaria.
Fai clic sulla scheda Norme.
Fai clic su Modifica criterio.
Imposta la modalità di valutazione per la regola predefinita.
La modalità di valutazione specifica il tipo di vincolo che Autorizzazione binaria applica al momento del deployment. Per impostare la modalità di valutazione, seleziona una delle seguenti opzioni:
- Consenti tutte le immagini: consente il deployment di tutte le immagini.
- Nega tutte le immagini: non consente il deployment di tutte le immagini.
- Consenti solo le immagini approvate dai seguenti attestatori: consente il deployment di un'immagine se l'immagine ha una o più attestazioni che possono essere verificate da tutti gli attestatori aggiunti a questa regola. Per scoprire di più sulla creazione degli attestatori, consulta Creazione di attestatori.
Se hai selezionato Consenti solo le immagini approvate dai seguenti attestatori:
Recupera il nome o l'ID risorsa dell'attestatore.
Nella pagina Attestatori della console Google Cloud, puoi visualizzare gli attestatori esistenti o crearne uno nuovo.
Fai clic su Aggiungi attestatori.
Seleziona una delle seguenti opzioni:
Aggiungi per nome progetto e attestatore
Il progetto si riferisce all'ID del progetto che archivia gli attestatori. Un esempio di nome di attestatore è
build-qa
.Aggiungi per ID risorsa attestatore
Un ID risorsa ha il seguente formato:
projects/PROJECT_ID/attestors/ATTESTOR_NAME
In Attestatori, inserisci i valori appropriati per l'opzione selezionata.
Fai clic su Aggiungi un altro attestatore se vuoi aggiungere altri attestatori.
Fai clic su Aggiungi attestatori per salvare la regola.
Se vuoi attivare la modalità di prova:
Seleziona Modalità di prova.
Fai clic su Save Policy (Salva criterio).
Imposta regole specifiche per il cluster (facoltativo)
Questa sezione si applica a GKE, cluster GKE e Anthos Service Mesh.
Un criterio può anche avere una o più regole specifiche del cluster. Questo tipo di regola si applica alle immagini container di cui deve essere eseguito il deployment solo in cluster Google Kubernetes Engine (GKE). Le regole specifiche per il cluster sono una parte facoltativa di un criterio.
Aggiungi una regola specifica per il cluster (GKE)
Questa sezione si applica ai cluster GKE e GKE.
Per aggiungere una regola specifica per un cluster GKE:
Nella console Google Cloud, vai alla pagina Autorizzazione binaria.
Fai clic sulla scheda Norme.
Fai clic su Modifica criterio.
Espandi la sezione Impostazioni aggiuntive per i deployment GKE e GKE Enterprise.
Se non viene impostato alcun tipo di regola specifico, fai clic su Crea regole specifiche.
Per selezionare il tipo di regola, fai clic su Tipo di regola specifica.
Per modificare il tipo di regola, fai clic su Modifica.
Fai clic su Aggiungi regola specifica.
Nel campo ID risorsa del cluster, inserisci l'ID risorsa del cluster.
L'ID risorsa per il cluster ha il formato
LOCATION.NAME
, ad esempious-central1-a.test-cluster
.Imposta la modalità di valutazione per la regola predefinita.
La modalità di valutazione specifica il tipo di vincolo che Autorizzazione binaria applica al momento del deployment. Per impostare la modalità di valutazione, seleziona una delle seguenti opzioni:
- Consenti tutte le immagini: consente il deployment di tutte le immagini.
- Nega tutte le immagini: non consente il deployment di tutte le immagini.
- Consenti solo le immagini approvate dai seguenti attestatori: consente il deployment di un'immagine se l'immagine ha una o più attestazioni che possono essere verificate da tutti gli attestatori aggiunti a questa regola. Per scoprire di più sulla creazione degli attestatori, consulta Creazione di attestatori.
Se hai selezionato Consenti solo le immagini approvate dai seguenti attestatori:
Recupera il nome o l'ID risorsa dell'attestatore.
Nella pagina Attestatori della console Google Cloud, puoi visualizzare gli attestatori esistenti o crearne uno nuovo.
Fai clic su Aggiungi attestatori.
Seleziona una delle seguenti opzioni:
Aggiungi per nome progetto e attestatore
Il progetto si riferisce all'ID del progetto che archivia gli attestatori. Un esempio di nome di attestatore è
build-qa
.Aggiungi per ID risorsa attestatore
Un ID risorsa ha il seguente formato:
projects/PROJECT_ID/attestors/ATTESTOR_NAME
In Attestatori, inserisci i valori appropriati per l'opzione selezionata.
Fai clic su Aggiungi un altro attestatore se vuoi aggiungere altri attestatori.
Fai clic su Aggiungi attestatori per salvare la regola.
Fai clic su Aggiungi per aggiungere la regola specifica per il cluster.
Potresti visualizzare il messaggio "Sembra che questo cluster non esista. Questa regola avrà comunque effetto se il cluster diventerà disponibile in GKE in futuro." In tal caso, fai di nuovo clic su Aggiungi per salvare la regola.
Se vuoi abilitare la modalità di prova, seleziona Modalità di prova.
Fai clic su Save Policy (Salva criterio).
Aggiungi una regola specifica per il cluster (cluster GKE)
Questa sezione si applica ai cluster GKE.
Per aggiungere una regola specifica per un cluster GKE:
Nella console Google Cloud, vai alla pagina Autorizzazione binaria.
Fai clic sulla scheda Norme.
Fai clic su Modifica criterio.
Espandi la sezione Impostazioni aggiuntive per i deployment GKE e GKE Enterprise.
Se non viene impostato alcun tipo di regola specifico, fai clic su Crea regole specifiche.
Per selezionare il tipo di regola, fai clic su Tipo di regola specifica.
Per aggiornare il tipo di regola, fai clic su Modifica.
Fai clic su Aggiungi regola specifica.
Nel campo ID risorsa del cluster, inserisci l'ID risorsa del cluster.
- Per i cluster collegati a GKE e
GKE su AWS, il formato è
CLUSTER_LOCATION.CLUSTER_NAME
, ad esempious-central1-a.test-cluster
. - Per GKE su Bare Metal e GKE su VMware, il formato è
FLEET_MEMBERSHIP_LOCATION.FLEET_MEMBERSHIP_ID
, ad esempioglobal.test-membership
.
- Per i cluster collegati a GKE e
GKE su AWS, il formato è
Imposta la modalità di valutazione per la regola predefinita.
La modalità di valutazione specifica il tipo di vincolo che Autorizzazione binaria applica al momento del deployment. Per impostare la modalità di valutazione, seleziona una delle seguenti opzioni:
- Consenti tutte le immagini: consente il deployment di tutte le immagini.
- Nega tutte le immagini: non consente il deployment di tutte le immagini.
- Consenti solo le immagini approvate dai seguenti attestatori: consente il deployment di un'immagine se l'immagine ha una o più attestazioni che possono essere verificate da tutti gli attestatori aggiunti a questa regola. Per scoprire di più sulla creazione degli attestatori, consulta Creazione di attestatori.
Se hai selezionato Consenti solo le immagini approvate dai seguenti attestatori:
Recupera il nome o l'ID risorsa dell'attestatore.
Nella pagina Attestatori della console Google Cloud, puoi visualizzare gli attestatori esistenti o crearne uno nuovo.
Fai clic su Aggiungi attestatori.
Seleziona una delle seguenti opzioni:
Aggiungi per nome progetto e attestatore
Il progetto si riferisce all'ID del progetto che archivia gli attestatori. Un esempio di nome di attestatore è
build-qa
.Aggiungi per ID risorsa attestatore
Un ID risorsa ha il seguente formato:
projects/PROJECT_ID/attestors/ATTESTOR_NAME
In Attestatori, inserisci i valori appropriati per l'opzione selezionata.
Fai clic su Aggiungi un altro attestatore se vuoi aggiungere altri attestatori.
Fai clic su Aggiungi attestatori per salvare la regola.
Fai clic su Aggiungi per salvare la regola.
Potresti visualizzare il messaggio "Sembra che questo cluster non esista. Questa regola ha comunque effetto se il cluster specificato diventa disponibile in GKE in futuro. In questo caso, fai di nuovo clic su Aggiungi per salvare la regola.
Se vuoi abilitare la modalità di prova, seleziona Modalità di prova.
Fai clic su Save Policy (Salva criterio).
Aggiungi regole specifiche
Puoi creare regole che hanno come ambito un'identità di servizio mesh, un account di servizio Kubernetes o uno spazio dei nomi Kubernetes. Puoi aggiungere o modificare una regola specifica nel seguente modo:
Nella console Google Cloud, vai alla pagina Autorizzazione binaria.
Fai clic sulla scheda Norme.
Fai clic su Modifica criterio.
Espandi la sezione Impostazioni aggiuntive per i deployment GKE e Anthos.
Se non viene impostato alcun tipo di regola specifico, fai clic su Crea regole specifiche.
Fai clic su Tipo di regola specifica per selezionare il tipo di regola.
Fai clic su Modifica per aggiornare il tipo di regola.
Se esiste il tipo di regola specifico, puoi modificarlo facendo clic su Modifica tipo.
Per aggiungere una regola specifica, fai clic su Aggiungi regola specifica. A seconda del tipo di regola scelto, inserisci un ID come segue:
- Identità servizio ASM: inserisci l'identità del servizio ASM, che ha il seguente formato: PROJECT_ID.svc.id.goog/ns/NAMESPACE/sa/SERVICE_ACCOUNT
- Account di servizio Kubernetes: inserisci il tuo account di servizio Kubernetes, che ha il seguente formato: NAMESPACE:SERVICE_ACCOUNT.
- Spazio dei nomi Kubernetes: inserisci lo spazio dei nomi Kubernetes, che ha il formato seguente: NAMESPACE
Sostituisci quanto segue, come necessario, a seconda del tipo di regola:
- PROJECT_ID: l'ID progetto in cui definisci le risorse Kubernetes.
- NAMESPACE: lo spazio dei nomi di Kubernetes.
- SERVICE_ACCOUNT: l'account di servizio.
Imposta la modalità di valutazione per la regola predefinita.
La modalità di valutazione specifica il tipo di vincolo che Autorizzazione binaria applica al momento del deployment. Per impostare la modalità di valutazione, seleziona una delle seguenti opzioni:
- Consenti tutte le immagini: consente il deployment di tutte le immagini.
- Nega tutte le immagini: non consente il deployment di tutte le immagini.
- Consenti solo le immagini approvate dai seguenti attestatori: consente il deployment di un'immagine se l'immagine ha una o più attestazioni che possono essere verificate da tutti gli attestatori aggiunti a questa regola. Per scoprire di più sulla creazione degli attestatori, consulta Creazione di attestatori.
Se hai selezionato Consenti solo le immagini approvate dai seguenti attestatori:
Recupera il nome o l'ID risorsa dell'attestatore.
Nella pagina Attestatori della console Google Cloud, puoi visualizzare gli attestatori esistenti o crearne uno nuovo.
Fai clic su Aggiungi attestatori.
Seleziona una delle seguenti opzioni:
Aggiungi per nome progetto e attestatore
Il progetto si riferisce all'ID del progetto che archivia gli attestatori. Un esempio di nome di attestatore è
build-qa
.Aggiungi per ID risorsa attestatore
Un ID risorsa ha il seguente formato:
projects/PROJECT_ID/attestors/ATTESTOR_NAME
In Attestatori, inserisci i valori appropriati per l'opzione selezionata.
Fai clic su Aggiungi un altro attestatore se vuoi aggiungere altri attestatori.
Fai clic su Aggiungi attestatori per salvare la regola.
Fai clic su Modalità di prova per abilitare la modalità di prova.
Fai clic su Aggiungi per salvare la regola specifica.
Fai clic su Save Policy (Salva criterio).
Gestisci immagini esenti
Questa sezione si applica a GKE, cluster GKE, Cloud Run e Anthos Service Mesh.
Un'immagine esente è un'immagine, specificata da un percorso, esente dalle regole dei criteri. Autorizzazione binaria consente sempre il deployment di immagini esenti.
Questo percorso può specificare una posizione in Container Registry o in un altro registro di immagini container.
Cloud Run
Questa sezione riguarda Cloud Run.
Non puoi specificare direttamente nomi di immagini che contengono un tag. Ad esempio, non puoi specificare IMAGE_PATH
:più recente.
Se vuoi specificare nomi di immagini che contengono tag, devi specificare il nome dell'immagine utilizzando un caratteri jolly nel modo seguente:
*
per tutte le versioni di una singola immagine; ad esempio,us-docker.pkg.dev/myproject/container/hello@*
**
per tutte le immagini in un progetto; ad esempio,us-docker.pkg.dev/myproject/**
Puoi utilizzare i nomi di percorso per specificare un digest nel formato
IMAGE_PATH
@DIGEST
.
Attiva il criterio di sistema
Questa sezione si applica ai cluster GKE e GKE.
Considera attendibili tutte le immagini di sistema fornite da Google è un'impostazione dei criteri che attiva il criterio del sistema di Autorizzazione binaria. Se questa impostazione è abilitata al momento del deployment, Autorizzazione binaria esenta un elenco di immagini di sistema gestite da Google richieste da GKE da un'ulteriore valutazione dei criteri. Il criterio di sistema viene valutato prima di qualsiasi altra impostazione dei criteri.
Per attivare il criterio di sistema:
Vai alla pagina Autorizzazione binaria nella console Google Cloud.
Fai clic su Modifica criterio.
Espandi la sezione Impostazioni aggiuntive per i deployment GKE e Anthos.
Seleziona Considera attendibili tutte le immagini di sistema fornite da Google nella sezione Esenzione delle immagini del sistema Google.
Per visualizzare le immagini esenti dal criterio di sistema, fai clic su Visualizza dettagli.
Per specificare manualmente altre immagini esenti, espandi la sezione Regole di esenzione personalizzate in Immagini esenti da questo criterio.
Quindi, fai clic su Aggiungi pattern immagine e inserisci il percorso del Registro di sistema di qualsiasi immagine aggiuntiva da escludere.
Fai clic su Save Policy (Salva criterio).
Passaggi successivi
- Utilizza l'attestatore
built-by-cloud-build
per eseguire il deployment solo delle immagini create da Cloud Build (anteprima). - Utilizzare le attestazioni.
- Esegui il deployment di un'immagine GKE.
- Visualizza gli eventi di Cloud Audit Logs.
- Utilizza una convalida continua.
- Utilizza la convalida continua legacy (deprecata) per verificare la conformità ai criteri.