Configure uma política através da consola Google Cloud

Esta página fornece instruções para configurar uma política de autorização binária através da consola Google Cloud . Em alternativa, pode realizar estas tarefas através da CLI do Google Cloud ou da API REST. Este passo faz parte da configuração da autorização binária.

Uma política é um conjunto de regras que regem a implementação de uma ou mais imagens de contentores.

Antes de começar

1. Ative a autorização binária.

2. Ative a autorização binária para a sua plataforma:

   • Utilizadores do Google Kubernetes Engine (GKE): crie um cluster com a Autorização binária ativada.

   • Utilizadores do Cloud Run: ative a autorização binária no seu serviço.

3. Se pretender usar atestações, recomendamos que crie atestadores antes de configurar a política. Pode criar atestadores através da Google Cloud consola ou de uma ferramenta de linha de comandos.

4. Selecione o ID do projeto no qual ativou a autorização binária.

Defina a regra predefinida

Esta secção aplica-se ao GKE, GKE Multi-Cloud, Distributed Cloud, Cloud Run e Cloud Service Mesh.

Uma regra é a parte de uma política que define restrições que as imagens têm de cumprir antes de poderem ser implementadas. A regra predefinida define restrições que se aplicam a todas as imagens de contentores não isentas que não tenham as suas próprias regras específicas do cluster. Todas as políticas têm uma regra predefinida.

Para definir a regra predefinida, faça o seguinte:

1. Na Google Cloud consola, aceda à página Autorização binária.

   Aceda à página Autorização binária

2. Clique no separador Política.

3. Clique em Editar política.

4. Defina o modo de avaliação para a regra predefinida.

   O modo de avaliação especifica o tipo de restrição que a autorização binária aplica no momento da implementação. Para definir o modo de avaliação, selecione uma das seguintes opções:

   • Permitir todas as imagens: permite a implementação de todas as imagens.
   • Recusar todas as imagens: não permite a implementação de nenhuma imagem.
   • Permitir apenas imagens que foram aprovadas pelos seguintes atestadores: permite a implementação de uma imagem se esta tiver uma ou mais atestações que podem ser validadas por todos os atestadores que adicionar a esta regra. Para saber como criar atestadores, consulte o artigo Criar atestadores.

   Se selecionou Permitir apenas imagens que tenham sido aprovadas pelos seguintes atestadores:

   1. Obtenha o nome ou o ID do recurso do seu atestador.

      Na Google Cloud consola, na página Validadores, pode ver os validadores existentes ou criar um novo.

      Aceda à página de atestadores da autorização binária

   2. Clique em Adicionar atestantes.

   3. Selecione uma das seguintes opções:

      • Adicione por projeto e nome do atestador

        O projeto refere-se ao ID do projeto que armazena os seus atestadores. Um exemplo de um nome do atestador é build-qa.

      • Adicione por ID do recurso do atestador

        Um ID de recurso tem o formato:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME
        

   4. Em Atestantes, introduza os valores adequados para a opção que selecionou.

   5. Clique em Adicionar outro atestador se quiser adicionar atestadores adicionais.

   6. Clique em Adicionar atestantes para guardar a regra.

Se quiser ativar o modo de teste, faça o seguinte:

1. Selecione Modo de teste.

2. Clique em Guardar política.

Defina regras específicas do cluster (opcional)

Esta secção aplica-se ao GKE, à Distributed Cloud e ao Cloud Service Mesh.

Uma política também pode ter uma ou mais regras específicas do cluster. Este tipo de regra aplica-se a imagens de contentores que vão ser implementadas apenas em clusters específicos do Google Kubernetes Engine (GKE). As regras específicas do cluster são uma parte opcional de uma política.

Adicione uma regra específica do cluster (GKE)

Esta secção aplica-se ao GKE e ao Distributed Cloud.

Para adicionar uma regra específica do cluster para um cluster do GKE, faça o seguinte:

1. Na Google Cloud consola, aceda à página Autorização binária.

   Aceda à página Autorização binária

2. Clique no separador Política.

3. Clique em Editar política.

4. Expanda a secção Definições adicionais para implementações do GKE.

5. Se não estiver definido nenhum tipo de regra específico, clique em Criar regras específicas.

   1. Para selecionar o tipo de regra, clique em Tipo de regra específico.

   2. Para alterar o tipo de regra, clique em Alterar.

6. Clique em Adicionar regra específica.

7. No campo ID do recurso do cluster, introduza o ID do recurso do cluster.

   O ID do recurso para o cluster tem o formato LOCATION.NAME, por exemplo, us-central1-a.test-cluster.

8. Defina o modo de avaliação para a regra predefinida.

   O modo de avaliação especifica o tipo de restrição que a autorização binária aplica no momento da implementação. Para definir o modo de avaliação, selecione uma das seguintes opções:

   • Permitir todas as imagens: permite a implementação de todas as imagens.
   • Recusar todas as imagens: não permite a implementação de nenhuma imagem.
   • Permitir apenas imagens que foram aprovadas pelos seguintes atestadores: permite a implementação de uma imagem se esta tiver uma ou mais atestações que podem ser validadas por todos os atestadores que adicionar a esta regra. Para saber como criar atestadores, consulte o artigo Criar atestadores.

   Se selecionou Permitir apenas imagens que tenham sido aprovadas pelos seguintes atestadores:

   1. Obtenha o nome ou o ID do recurso do seu atestador.

      Na Google Cloud consola, na página Validadores, pode ver os validadores existentes ou criar um novo.

      Aceda à página de atestadores da autorização binária

   2. Clique em Adicionar atestantes.

   3. Selecione uma das seguintes opções:

      • Adicione por projeto e nome do atestador

        O projeto refere-se ao ID do projeto que armazena os seus atestadores. Um exemplo de um nome do atestador é build-qa.

      • Adicione por ID do recurso do atestador

        Um ID de recurso tem o formato:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME
        

   4. Em Atestantes, introduza os valores adequados para a opção que selecionou.

   5. Clique em Adicionar outro atestador se quiser adicionar atestadores adicionais.

   6. Clique em Adicionar atestantes para guardar a regra.

9. Clique em Adicionar para adicionar a regra específica do cluster.

   Pode ver uma mensagem com a indicação "Parece que este cluster não existe. Esta regra continua a ter efeito se este cluster ficar disponível no GKE no futuro." Se for o caso, clique novamente em Adicionar para guardar a regra.

10. Se quiser ativar o modo de teste, selecione Modo de teste.

11. Clique em Guardar política.

Adicione uma regra específica do cluster (GKE Multi-Cloud,Distributed Cloud)

Esta secção aplica-se ao Distributed Cloud.

Para adicionar uma regra específica do cluster para um cluster do GKE, faça o seguinte:

1. Na Google Cloud consola, aceda à página Autorização binária.

   Aceda à página Autorização binária

2. Clique no separador Política.

3. Clique em Editar política.

4. Expanda a secção Definições adicionais para implementações do GKE.

5. Se não estiver definido nenhum tipo de regra específico, clique em Criar regras específicas.

   1. Para selecionar o tipo de regra, clique em Tipo de regra específico.

   2. Para atualizar o tipo de regra, clique em Alterar.

6. Clique em Adicionar regra específica.

7. No campo ID do recurso do cluster, introduza o ID do recurso do cluster.

   • Para clusters anexados do GKE e GKE na AWS, o formato é CLUSTER_LOCATION.CLUSTER_NAME, por exemplo, us-central1-a.test-cluster.
   • Para o Google Distributed Cloud e o Google Distributed Cloud, o formato é FLEET_MEMBERSHIP_LOCATION.FLEET_MEMBERSHIP_ID. Por exemplo, global.test-membership.

8. Defina o modo de avaliação para a regra predefinida.

   O modo de avaliação especifica o tipo de restrição que a autorização binária aplica no momento da implementação. Para definir o modo de avaliação, selecione uma das seguintes opções:

   • Permitir todas as imagens: permite a implementação de todas as imagens.
   • Recusar todas as imagens: não permite a implementação de nenhuma imagem.
   • Permitir apenas imagens que foram aprovadas pelos seguintes atestadores: permite a implementação de uma imagem se esta tiver uma ou mais atestações que podem ser validadas por todos os atestadores que adicionar a esta regra. Para saber como criar atestadores, consulte o artigo Criar atestadores.

   Se selecionou Permitir apenas imagens que tenham sido aprovadas pelos seguintes atestadores:

   1. Obtenha o nome ou o ID do recurso do seu atestador.

      Na Google Cloud consola, na página Validadores, pode ver os validadores existentes ou criar um novo.

      Aceda à página de atestadores da autorização binária

   2. Clique em Adicionar atestantes.

   3. Selecione uma das seguintes opções:

      • Adicione por projeto e nome do atestador

        O projeto refere-se ao ID do projeto que armazena os seus atestadores. Um exemplo de um nome do atestador é build-qa.

      • Adicione por ID do recurso do atestador

        Um ID de recurso tem o formato:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME
        

   4. Em Atestantes, introduza os valores adequados para a opção que selecionou.

   5. Clique em Adicionar outro atestador se quiser adicionar atestadores adicionais.

   6. Clique em Adicionar atestantes para guardar a regra.

9. Clique em Adicionar para guardar a regra.

   Pode ver uma mensagem com a indicação "Este cluster não existe. Esta regra continua a ter efeito se o cluster especificado ficar disponível no GKE no futuro." Neste caso, clique novamente em Adicionar para guardar a regra.

10. Se quiser ativar o modo de teste, selecione Modo de teste.

11. Clique em Guardar política.

Adicione regras específicas

Pode criar regras com âmbito definido para uma identidade de serviço de malha, uma conta de serviço do Kubernetes ou um espaço de nomes do Kubernetes. Pode adicionar ou modificar uma regra específica da seguinte forma:

1. Na Google Cloud consola, aceda à página Autorização binária.

   Aceda à página Autorização binária

2. Clique no separador Política.

3. Clique em Editar política.

4. Expanda a secção Definições adicionais para implementações do GKE e do Anthos.

5. Se não estiver definido nenhum tipo de regra específico, clique em Criar regras específicas.

   1. Clique em Tipo de regra específico para selecionar o tipo de regra.

   2. Clique em Alterar para atualizar o tipo de regra.

6. Se o tipo de regra específico existir, pode alterar o tipo de regra clicando em Editar tipo.

7. Para adicionar uma regra específica, clique em Adicionar regra específica. Dependendo do tipo de regra que escolher, introduz um ID da seguinte forma:

   • Identidade do serviço ASM: introduza a identidade do serviço ASM, que tem o seguinte formato: PROJECT_ID.svc.id.goog/ns/NAMESPACE/sa/SERVICE_ACCOUNT
   • Conta de serviço do Kubernetes: introduza a sua conta de serviço do Kubernetes, que tem o seguinte formato: NAMESPACE:SERVICE_ACCOUNT.
   • Namespace do Kubernetes: introduza o seu namespace do Kubernetes, que tem o seguinte formato: NAMESPACE

   Substitua o seguinte, conforme necessário, consoante o tipo de regra:

   • PROJECT_ID: o ID do projeto no qual define os seus recursos do Kubernetes.
   • NAMESPACE: o namespace do Kubernetes.
   • SERVICE_ACCOUNT: a conta de serviço.

8. Defina o modo de avaliação para a regra predefinida.

   O modo de avaliação especifica o tipo de restrição que a autorização binária aplica no momento da implementação. Para definir o modo de avaliação, selecione uma das seguintes opções:

   • Permitir todas as imagens: permite a implementação de todas as imagens.
   • Recusar todas as imagens: não permite a implementação de nenhuma imagem.
   • Permitir apenas imagens que foram aprovadas pelos seguintes atestadores: permite a implementação de uma imagem se esta tiver uma ou mais atestações que podem ser validadas por todos os atestadores que adicionar a esta regra. Para saber como criar atestadores, consulte o artigo Criar atestadores.

   Se selecionou Permitir apenas imagens que tenham sido aprovadas pelos seguintes atestadores:

   1. Obtenha o nome ou o ID do recurso do seu atestador.

      Na Google Cloud consola, na página Validadores, pode ver os validadores existentes ou criar um novo.

      Aceda à página de atestadores da autorização binária

   2. Clique em Adicionar atestantes.

   3. Selecione uma das seguintes opções:

      • Adicione por projeto e nome do atestador

        O projeto refere-se ao ID do projeto que armazena os seus atestadores. Um exemplo de um nome do atestador é build-qa.

      • Adicione por ID do recurso do atestador

        Um ID de recurso tem o formato:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME
        

   4. Em Atestantes, introduza os valores adequados para a opção que selecionou.

   5. Clique em Adicionar outro atestador se quiser adicionar atestadores adicionais.

   6. Clique em Adicionar atestantes para guardar a regra.

9. Clique em Modo de teste para ativar o modo de teste.

10. Clique em Adicionar para guardar a regra específica.

11. Clique em Guardar política.

Faça a gestão de imagens isentas

Esta secção aplica-se ao GKE, à Distributed Cloud, ao Cloud Run e ao Cloud Service Mesh.

Uma imagem isenta é uma imagem, especificada por um caminho, que está isenta das regras de políticas. A Autorização binária permite sempre a implementação de imagens isentas.

Este caminho pode especificar uma localização no Container Registry ou noutro registo de imagens de contentores.

Cloud Run

Esta secção aplica-se ao Cloud Run.

Não pode especificar diretamente nomes de imagens que contenham uma etiqueta. Por exemplo, não pode especificar IMAGE_PATH:latest.

Se quiser especificar nomes de imagens que contenham etiquetas, tem de especificar o nome da imagem com um caráter universal da seguinte forma:

• * para todas as versões de uma única imagem; por exemplo, us-docker.pkg.dev/myproject/container/hello@*
• ** para todas as imagens num projeto; por exemplo, us-docker.pkg.dev/myproject/**

Pode usar nomes de caminhos para especificar um resumo no formato IMAGE_PATH@DIGEST.

Ative a política do sistema

Esta secção aplica-se ao GKE e ao Distributed Cloud.

Confiar em todas as imagens do sistema fornecidas pela Google é uma definição de política que ativa a política do sistema de autorização binária. Quando esta definição é ativada no momento da implementação, a autorização binária isenta uma lista de imagens do sistema mantidas pela Google que são necessárias para o GKE de uma avaliação de políticas adicional. A política do sistema é avaliada antes de quaisquer outras definições de políticas.

Para ativar a política de sistemas, faça o seguinte:

1. Aceda à página Autorização binária na Google Cloud consola.

   Aceda à Autorização binária

2. Clique em Editar política.

3. Expanda a secção Definições adicionais para implementações do GKE e do Anthos.

4. Selecione Confiar em todas as imagens do sistema fornecidas pela Google na secção Isenção de imagens do sistema Google.

   Para ver as imagens isentas pela política de sistemas, clique em Ver detalhes.

5. Para especificar manualmente imagens isentas adicionais, expanda a secção Regras de isenção personalizadas em Imagens isentas desta política.

   Em seguida, clique em Adicionar padrão de imagem e introduza o caminho do registo para qualquer imagem adicional que queira isentar.

6. Clique em Guardar política.

O que se segue?

• Use o built-by-cloud-build atestador para implementar apenas imagens criadas pelo Cloud Build (pré-visualização).
• Use atestações.
• Implemente uma imagem do GKE.
• Veja eventos dos registos de auditoria do Cloud.
• Use a validação contínua.
• Use a validação contínua antiga (descontinuada) para verificar a conformidade com as políticas.