Mengonfigurasi kebijakan menggunakan Konsol Google Cloud

Halaman ini berisi petunjuk untuk mengonfigurasi kebijakan Otorisasi Biner menggunakan Konsol Google Cloud. Sebagai alternatif, Anda dapat menjalankan tugas ini menggunakan Google Cloud CLI atau REST API. Langkah ini adalah bagian dari menyiapkan Otorisasi Biner.

Kebijakan adalah serangkaian aturan yang mengatur deployment satu atau beberapa image container.

Sebelum memulai

Aktifkan Otorisasi Biner.
Aktifkan Otorisasi Biner untuk platform Anda:
- Pengguna Google Kubernetes Engine (GKE): Membuat cluster dengan Otorisasi Biner yang diaktifkan.
- Pengguna Cloud Run: Aktifkan Otorisasi Biner pada layanan Anda.
Jika Anda ingin menggunakan attestations, sebaiknya buat attestor sebelum mengonfigurasi kebijakan. Anda dapat membuat attestor menggunakan Google Cloud Console atau melalui alat command line.
Pilih project ID untuk project tempat Anda mengaktifkan Otorisasi Biner.

Menetapkan aturan default

Bagian ini berlaku untuk Cluster GKE, GKE, Cloud Run, dan Anthos Service Mesh.

Aturan adalah bagian dari kebijakan yang menentukan batasan yang harus dipenuhi image sebelum dapat di-deploy. Aturan default menetapkan batasan yang berlaku untuk semua image container yang tidak dikecualikan yang tidak memiliki aturan khusus cluster sendiri. Setiap kebijakan memiliki aturan default.

Untuk menetapkan aturan default, lakukan hal berikut:

Di konsol Google Cloud, buka halaman Otorisasi Biner.

Buka halaman Otorisasi Biner
Klik tab Kebijakan.
Klik Edit Kebijakan.
Tetapkan mode evaluasi untuk aturan default.

Mode evaluasi menentukan jenis batasan yang diberlakukan oleh Otorisasi Biner pada waktu deployment. Untuk menetapkan mode evaluasi, pilih salah satu opsi berikut:
- Izinkan semua image: Mengizinkan semua image di-deploy.
- Deny all images: Mencegah semua image di-deploy.
- Hanya izinkan image yang telah disetujui oleh attestor berikut: Mengizinkan image di-deploy jika image memiliki satu atau beberapa pengesahan yang dapat diverifikasi oleh semua attestor yang Anda tambahkan ke aturan ini. Untuk mempelajari cara membuat attestor, lihat Membuat attestor.
Jika Anda memilih Hanya izinkan gambar yang telah disetujui oleh attestor berikut:
1. Dapatkan nama atau ID resource attestor Anda.
  
  Di konsol Google Cloud, pada halaman Attestors, Anda dapat melihat attestor yang ada atau membuat attestor baru.
  
  Buka halaman Binary Authorization Attestors
2. Klik Add Attestors.
3. Pilih salah satu opsi berikut:
  - Tambahkan menurut project dan nama attestor
    
    Project ini mengacu pada project ID dari project yang menyimpan attestor Anda. Contoh nama attestor adalah build-qa.
  - Tambahkan menurut ID resource attestor
    
    ID resource memiliki format:
```
projects/PROJECT_ID/attestors/ATTESTOR_NAME
```
4. Di bagian Attestor, masukkan nilai yang sesuai untuk opsi yang Anda pilih.
5. Klik Add Another Attestor jika Anda ingin menambahkan attestor tambahan.
6. Klik Add Attestor(s) untuk menyimpan aturan.

Jika Anda ingin mengaktifkan mode uji coba, lakukan hal berikut:

Pilih Dry Run Mode.
Klik Simpan Kebijakan.

Menetapkan aturan khusus cluster (opsional)

Bagian ini berlaku untuk cluster GKE, GKE, dan Anthos Service Mesh.

Kebijakan juga dapat memiliki satu atau beberapa aturan khusus cluster. Jenis aturan ini hanya berlaku untuk image container yang akan di-deploy ke cluster Google Kubernetes Engine (GKE) tertentu. Aturan khusus cluster merupakan bagian opsional dari kebijakan.

Menambahkan aturan khusus cluster (GKE)

Bagian ini berlaku untuk cluster GKE dan GKE.

Untuk menambahkan aturan khusus cluster untuk cluster GKE, lakukan hal berikut:

Di konsol Google Cloud, buka halaman Otorisasi Biner.

Buka halaman Otorisasi Biner
Klik tab Kebijakan.
Klik Edit Kebijakan.
Luaskan bagian Setelan tambahan untuk deployment GKE dan GKE Enterprise.
Jika tidak ada jenis aturan khusus yang ditetapkan, klik Buat Aturan Spesifik.
1. Untuk memilih jenis aturan, klik Jenis Aturan Spesifik.
2. Untuk mengubah jenis aturan, klik Ubah.
Klik Add Specific Rule.
Di kolom ID resource cluster, masukkan ID resource untuk cluster.

ID resource untuk cluster memiliki format LOCATION.NAME, misalnya, us-central1-a.test-cluster.
Tetapkan mode evaluasi untuk aturan default.

Mode evaluasi menentukan jenis batasan yang diberlakukan oleh Otorisasi Biner pada waktu deployment. Untuk menetapkan mode evaluasi, pilih salah satu opsi berikut:
- Izinkan semua image: Mengizinkan semua image di-deploy.
- Deny all images: Mencegah semua image di-deploy.
- Hanya izinkan image yang telah disetujui oleh attestor berikut: Mengizinkan image di-deploy jika image memiliki satu atau beberapa pengesahan yang dapat diverifikasi oleh semua attestor yang Anda tambahkan ke aturan ini. Untuk mempelajari cara membuat attestor, lihat Membuat attestor.
Jika Anda memilih Hanya izinkan gambar yang telah disetujui oleh attestor berikut:
1. Dapatkan nama atau ID resource attestor Anda.
  
  Di konsol Google Cloud, pada halaman Attestors, Anda dapat melihat attestor yang ada atau membuat attestor baru.
  
  Buka halaman Binary Authorization Attestors
2. Klik Add Attestors.
3. Pilih salah satu opsi berikut:
  - Tambahkan menurut project dan nama attestor
    
    Project ini mengacu pada project ID dari project yang menyimpan attestor Anda. Contoh nama attestor adalah build-qa.
  - Tambahkan menurut ID resource attestor
    
    ID resource memiliki format:
```
projects/PROJECT_ID/attestors/ATTESTOR_NAME
```
4. Di bagian Attestor, masukkan nilai yang sesuai untuk opsi yang Anda pilih.
5. Klik Add Another Attestor jika Anda ingin menambahkan attestor tambahan.
6. Klik Add Attestor(s) untuk menyimpan aturan.
Klik Tambahkan untuk menambahkan aturan khusus cluster.

Anda mungkin melihat pesan yang bertuliskan, "Sepertinya cluster ini tidak ada. Aturan ini akan tetap berlaku jika cluster ini tersedia di GKE pada masa mendatang." Jika demikian, klik Add lagi untuk menyimpan aturan.
Jika Anda ingin mengaktifkan dry run mode, pilih Dry Run Mode.
Klik Simpan Kebijakan.

Menambahkan aturan khusus cluster (cluster GKE)

Bagian ini berlaku untuk cluster GKE.

Untuk menambahkan aturan khusus cluster untuk cluster GKE, lakukan hal berikut:

Di konsol Google Cloud, buka halaman Otorisasi Biner.

Buka halaman Otorisasi Biner
Klik tab Kebijakan.
Klik Edit Kebijakan.
Luaskan bagian Setelan tambahan untuk deployment GKE dan GKE Enterprise.
Jika tidak ada jenis aturan khusus yang ditetapkan, klik Buat Aturan Spesifik.
1. Untuk memilih jenis aturan, klik Jenis Aturan Spesifik.
2. Untuk memperbarui jenis aturan, klik Ubah.
Klik Add Specific Rule.
Di kolom ID resource cluster, masukkan ID resource untuk cluster.
- Untuk cluster GKE yang terpasang, dan GKE di AWS, formatnya adalah CLUSTER_LOCATION.CLUSTER_NAME—misalnya, us-central1-a.test-cluster.
- Untuk GKE di Bare Metal dan GKE di VMware, formatnya adalah FLEET_MEMBERSHIP_LOCATION.FLEET_MEMBERSHIP_ID—misalnya, global.test-membership.
Tetapkan mode evaluasi untuk aturan default.

Mode evaluasi menentukan jenis batasan yang diberlakukan oleh Otorisasi Biner pada waktu deployment. Untuk menetapkan mode evaluasi, pilih salah satu opsi berikut:
- Izinkan semua image: Mengizinkan semua image di-deploy.
- Deny all images: Mencegah semua image di-deploy.
- Hanya izinkan image yang telah disetujui oleh attestor berikut: Mengizinkan image di-deploy jika image memiliki satu atau beberapa pengesahan yang dapat diverifikasi oleh semua attestor yang Anda tambahkan ke aturan ini. Untuk mempelajari cara membuat attestor, lihat Membuat attestor.
Jika Anda memilih Hanya izinkan gambar yang telah disetujui oleh attestor berikut:
1. Dapatkan nama atau ID resource attestor Anda.
  
  Di konsol Google Cloud, pada halaman Attestors, Anda dapat melihat attestor yang ada atau membuat attestor baru.
  
  Buka halaman Binary Authorization Attestors
2. Klik Add Attestors.
3. Pilih salah satu opsi berikut:
  - Tambahkan menurut project dan nama attestor
    
    Project ini mengacu pada project ID dari project yang menyimpan attestor Anda. Contoh nama attestor adalah build-qa.
  - Tambahkan menurut ID resource attestor
    
    ID resource memiliki format:
```
projects/PROJECT_ID/attestors/ATTESTOR_NAME
```
4. Di bagian Attestor, masukkan nilai yang sesuai untuk opsi yang Anda pilih.
5. Klik Add Another Attestor jika Anda ingin menambahkan attestor tambahan.
6. Klik Add Attestor(s) untuk menyimpan aturan.
Klik Add untuk menyimpan aturan.

Anda mungkin melihat pesan yang bertuliskan "Sepertinya cluster ini tidak ada. Aturan ini tetap berlaku jika cluster yang ditentukan tersedia di GKE pada masa mendatang." Dalam kasus ini, klik Add lagi untuk menyimpan aturan.
Jika Anda ingin mengaktifkan dry run mode, pilih Dry Run Mode.
Klik Simpan Kebijakan.

Tambahkan aturan spesifik

Anda dapat membuat aturan yang mencakup identitas layanan mesh, akun layanan Kubernetes, atau namespace Kubernetes. Anda dapat menambahkan atau mengubah aturan spesifik sebagai berikut:

Di konsol Google Cloud, buka halaman Otorisasi Biner.

Buka halaman Otorisasi Biner
Klik tab Kebijakan.
Klik Edit Kebijakan.
Luaskan bagian Setelan tambahan untuk deployment GKE dan Anthos.
Jika tidak ada jenis aturan khusus yang ditetapkan, klik Buat Aturan Spesifik.
1. Klik Jenis Aturan Spesifik untuk memilih jenis aturan.
2. Klik Ubah untuk memperbarui jenis aturan.
Jika ada jenis aturan tertentu, Anda dapat mengubah jenis aturan tersebut dengan mengklik Edit Type.

Catatan: Anda dapat menetapkan satu jenis aturan spesifik per kebijakan. Jika jenis aturan diubah, aturan yang dibuat untuk jenis yang asli akan dihapus saat halaman kebijakan disimpan.
Untuk menambahkan aturan tertentu, klik Tambahkan Aturan Tertentu. Bergantung pada jenis aturan yang dipilih, Anda dapat memasukkan ID, sebagai berikut:
- ASM Service Identity: Masukkan identitas layanan ASM Anda yang memiliki format berikut: PROJECT_ID.svc.id.goog/ns/NAMESPACE/sa/SERVICE_ACCOUNT
- Kubernetes Service Account: Masukkan akun layanan Kubernetes Anda, yang memiliki format berikut: NAMESPACE:SERVICE_ACCOUNT.
- Kubernetes Namespace: Masukkan namespace Kubernetes Anda yang memiliki format berikut: NAMESPACE
Ganti hal berikut, jika diperlukan, bergantung pada jenis aturan:
- PROJECT_ID: project ID tempat Anda menentukan resource Kubernetes Anda.
- NAMESPACE: namespace Kubernetes.
- SERVICE_ACCOUNT: akun layanan.
Tetapkan mode evaluasi untuk aturan default.

Mode evaluasi menentukan jenis batasan yang diberlakukan oleh Otorisasi Biner pada waktu deployment. Untuk menetapkan mode evaluasi, pilih salah satu opsi berikut:
- Izinkan semua image: Mengizinkan semua image di-deploy.
- Deny all images: Mencegah semua image di-deploy.
- Hanya izinkan image yang telah disetujui oleh attestor berikut: Mengizinkan image di-deploy jika image memiliki satu atau beberapa pengesahan yang dapat diverifikasi oleh semua attestor yang Anda tambahkan ke aturan ini. Untuk mempelajari cara membuat attestor, lihat Membuat attestor.
Jika Anda memilih Hanya izinkan gambar yang telah disetujui oleh attestor berikut:
1. Dapatkan nama atau ID resource attestor Anda.
  
  Di konsol Google Cloud, pada halaman Attestors, Anda dapat melihat attestor yang ada atau membuat attestor baru.
  
  Buka halaman Binary Authorization Attestors
2. Klik Add Attestors.
3. Pilih salah satu opsi berikut:
  - Tambahkan menurut project dan nama attestor
    
    Project ini mengacu pada project ID dari project yang menyimpan attestor Anda. Contoh nama attestor adalah build-qa.
  - Tambahkan menurut ID resource attestor
    
    ID resource memiliki format:
```
projects/PROJECT_ID/attestors/ATTESTOR_NAME
```
4. Di bagian Attestor, masukkan nilai yang sesuai untuk opsi yang Anda pilih.
5. Klik Add Another Attestor jika Anda ingin menambahkan attestor tambahan.
6. Klik Add Attestor(s) untuk menyimpan aturan.
Klik Dry run mode untuk mengaktifkan mode uji coba.
Klik Add untuk menyimpan aturan tertentu.
Klik Simpan Kebijakan.

Kelola gambar yang dikecualikan

Bagian ini berlaku untuk Cluster GKE, GKE, Cloud Run, dan Anthos Service Mesh.

Gambar yang dikecualikan adalah gambar, yang ditetapkan oleh jalur, yang dikecualikan dari aturan kebijakan. Otorisasi Biner selalu mengizinkan deployment image yang dikecualikan.

Jalur ini dapat menentukan lokasi di Container Registry atau registry image container lainnya.

Cloud Run

Bagian ini berlaku untuk Cloud Run.

Anda tidak dapat secara langsung menentukan nama gambar yang berisi tag. Misalnya, Anda tidak dapat menentukan IMAGE_PATH:latest.

Jika ingin menentukan nama gambar yang berisi tag, Anda harus menentukan nama gambar menggunakan karakter pengganti seperti berikut:

* untuk semua versi gambar tunggal; misalnya, us-docker.pkg.dev/myproject/container/hello@*
** untuk semua gambar dalam project; misalnya, us-docker.pkg.dev/myproject/**

Anda dapat menggunakan nama jalur untuk menentukan ringkasan dalam format IMAGE_PATH@DIGEST.

Mengaktifkan kebijakan sistem

Bagian ini berlaku untuk cluster GKE dan GKE.

Percayai semua image sistem yang disediakan Google adalah setelan kebijakan yang mengaktifkan kebijakan sistem Otorisasi Biner. Jika setelan ini diaktifkan pada waktu deployment, Otorisasi Biner akan mengecualikan daftar image sistem yang dikelola Google yang diperlukan oleh GKE dari evaluasi kebijakan lebih lanjut. Kebijakan sistem dievaluasi sebelum setelan kebijakan lainnya.

Untuk mengaktifkan kebijakan sistem, lakukan hal berikut:

Buka halaman Otorisasi Biner di Konsol Google Cloud.

Buka Otorisasi Biner
Klik Edit Kebijakan.
Luaskan bagian Setelan tambahan untuk deployment GKE dan Anthos.
Pilih Percayai semua image sistem yang disediakan Google di bagian Pengecualian image sistem Google.

Untuk melihat image yang dikecualikan oleh kebijakan sistem, klik Lihat Detail.

Catatan: Informasi kebijakan sistem mungkin berbeda untuk sementara di setiap wilayah saat Google memperbarui daftar yang diizinkan. Daftar gambar yang ditampilkan berasal dari grup wilayah terakhir yang diperbarui. Karena sebagian besar perubahan pada kebijakan sistem merupakan penambahan, daftar akan menampilkan kumpulan image sistem yang saat ini diizinkan di semua wilayah. Anda dapat melihat kebijakan sistem untuk region tertentu menggunakan perintah gcloud.
Untuk menentukan gambar tambahan yang dikecualikan secara manual, luaskan bagian Aturan pengecualian kustom di bagian Gambar yang dikecualikan dari kebijakan ini.

Kemudian, klik Tambahkan Pola Gambar dan masukkan jalur registry ke gambar tambahan yang ingin Anda kecualikan.
Klik Simpan Kebijakan.

Langkah selanjutnya

Gunakan attestor built-by-cloud-build untuk men-deploy image yang di-build hanya oleh Cloud Build (Pratinjau).
Gunakan pengesahan.
Men-deploy image GKE.
Melihat peristiwa Cloud Audit Logs.
Gunakan Validasi Berkelanjutan untuk memeriksa kesesuaian kebijakan.