Richtlinie mit der Cloud Console konfigurieren

Diese Seite enthält Anleitungen für die Konfiguration einer Richtlinie zur Binärautorisierung mit der Google Cloud Console. Sie können diese Aufgaben auch mit dem gcloud-Befehlszeilentool oder der REST API ausführen. Dieser Schritt ist Teil der Einrichtung der Binärautorisierung.

Eine Richtlinie ist ein Satz von Regeln, die das Deployment eines oder mehrerer Container-Images steuern.

Hinweis

  1. Binärautorisierung aktivieren
  2. Cluster erstellen
  3. Wenn Sie Attestierungen verwenden möchten, empfehlen wir, vor dem Konfigurieren der Richtlinie Attestierer zu erstellen. Sie können Attestierer mithilfe der Cloud Console oder über ein Befehlszeilentool erstellen.
  4. Wählen Sie die Projekt-ID des Projekts aus, in dem Sie die Binärautorisierung aktiviert haben.

Standardregel festlegen

Dieser Abschnitt gilt für GKE, Anthos-Cluster auf VMware, Cloud Run und Anthos Service Mesh.

Eine Regel ist der Teil einer Richtlinie, der Einschränkungen definiert, die Images erfüllen müssen, bevor sie bereitgestellt werden können. Die Standardregel definiert Einschränkungen, die für alle nicht ausgenommenen Container-Images gelten, die keine eigenen clusterspezifischen Regeln haben. Jede Richtlinie enthält eine Standardregel.

So legen Sie die Standardregel fest:

  1. Rufen Sie in der Cloud Console die Seite Binärautorisierung auf.

    Zur Seite "Binärautorisierung"

  2. Klicken Sie auf den Tab Richtlinie.

  3. Klicken Sie auf Richtlinie bearbeiten.

  4. Wählen Sie den Auswertungsmodus für die Standardregel aus.

    Der Auswertungsmodus gibt die Art der Einschränkung an, die die Binärautorisierung zum Zeitpunkt des Deployments erzwingt. Wählen Sie eine der folgenden Optionen aus, um den Auswertungsmodus festzulegen:

    • Alle Images zulassen: Ermöglicht die Bereitstellung aller Images.
    • Alle Images ablehnen: Verhindert, dass alle Images bereitgestellt werden.
    • Nur Images zulassen, die von den folgenden Attestierern genehmigt wurden: Ermöglicht die Bereitstellung eines Images, wenn dem Image eine Attestierung zugeordnet ist, die von einem der Attestierer, die Sie zu dieser Regel hinzufügen, verifiziert werden kann. Informationen zum Erstellen von Attestierern finden Sie unter Attestierer erstellen.

    Wenn Sie Nur Images zulassen, die von den folgenden Attestierern genehmigt wurden ausgewählt haben:

    1. Rufen Sie den Namen oder die Ressourcen-ID des Attestierers ab.

      In der Google Cloud Console können Sie auf der Seite Attestierer Ihre vorhandenen Attestierer ansehen oder einen neuen erstellen.

      Rufen Sie die Seite "Binärautorisierung einrichten" auf

    2. Klicken Sie auf Attestierer hinzufügen.

    3. Wählen Sie eine der folgenden Optionen aus:

      • Basierend auf dem Projekt und Attestierernamen hinzufügen

        Das Projekt bezieht sich auf die Projekt-ID des Projekts, in dem die Attestierer gespeichert werden. Ein Attestierername ist beispielsweise build-qa.

      • Basierend auf der Attestierer-Ressourcen-ID hinzufügen

        Eine Ressourcen-ID hat folgendes Format:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME
        
    4. Geben Sie unter Attestierer die entsprechenden Werte für die ausgewählte Option ein.

    5. Klicken Sie auf Weiteren Attestierer hinzufügen, wenn Sie weitere Attestierer hinzufügen möchten.

    6. Klicken Sie auf Attestierer hinzufügen, um die Regel zu speichern.

Wenn Sie den Probelaufmodus aktivieren möchten, gehen Sie so vor:

  1. Wählen Sie Probelaufmodus aus.

  2. Klicken Sie auf Save Policy (Richtlinie speichern).

Clusterspezifische Regeln festlegen (optional)

Dieser Abschnitt gilt für GKE, Anthos-Cluster auf VMware und Anthos Service Mesh.

Eine Richtlinie kann auch eine oder mehrere clusterspezifische Regeln enthalten. Diese Art von Regel gilt für Container-Images, die nur in bestimmten Google Kubernetes Engine-Clustern (GKE) bereitgestellt werden sollen. Clusterspezifische Regeln sind optionaler Bestandteil einer Richtlinie.

Clusterspezifische Regel hinzufügen (GKE)

Dieser Abschnitt gilt für GKE- und Anthos-Cluster auf VMware.

So fügen Sie eine clusterspezifische Regel für einen GKE-Cluster hinzu:

  1. Rufen Sie in der Cloud Console die Seite Binärautorisierung auf.

    Zur Seite "Binärautorisierung"

  2. Klicken Sie auf den Tab Richtlinie.

  3. Klicken Sie auf Richtlinie bearbeiten.

  4. Erweitern Sie unter Clusterspezifische Regeln den Abschnitt Regeln.

  5. Klicken Sie auf Add Rule (Regel hinzufügen).

  6. Geben Sie im Feld Cluster-Ressourcen-ID die Ressourcen-ID für den Cluster ein.

    Die Ressourcen-ID für den Cluster hat das Format LOCATION.NAME, z. B. us-central1-a.test-cluster.

  7. Wählen Sie den Auswertungsmodus für die Standardregel aus.

    Der Auswertungsmodus gibt die Art der Einschränkung an, die die Binärautorisierung zum Zeitpunkt des Deployments erzwingt. Wählen Sie eine der folgenden Optionen aus, um den Auswertungsmodus festzulegen:

    • Alle Images zulassen: Ermöglicht die Bereitstellung aller Images.
    • Alle Images ablehnen: Verhindert, dass alle Images bereitgestellt werden.
    • Nur Images zulassen, die von den folgenden Attestierern genehmigt wurden: Ermöglicht die Bereitstellung eines Images, wenn dem Image eine Attestierung zugeordnet ist, die von einem der Attestierer, die Sie zu dieser Regel hinzufügen, verifiziert werden kann. Informationen zum Erstellen von Attestierern finden Sie unter Attestierer erstellen.

    Wenn Sie Nur Images zulassen, die von den folgenden Attestierern genehmigt wurden ausgewählt haben:

    1. Rufen Sie den Namen oder die Ressourcen-ID des Attestierers ab.

      In der Google Cloud Console können Sie auf der Seite Attestierer Ihre vorhandenen Attestierer ansehen oder einen neuen erstellen.

      Rufen Sie die Seite "Binärautorisierung einrichten" auf

    2. Klicken Sie auf Attestierer hinzufügen.

    3. Wählen Sie eine der folgenden Optionen aus:

      • Basierend auf dem Projekt und Attestierernamen hinzufügen

        Das Projekt bezieht sich auf die Projekt-ID des Projekts, in dem die Attestierer gespeichert werden. Ein Attestierername ist beispielsweise build-qa.

      • Basierend auf der Attestierer-Ressourcen-ID hinzufügen

        Eine Ressourcen-ID hat folgendes Format:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME
        
    4. Geben Sie unter Attestierer die entsprechenden Werte für die ausgewählte Option ein.

    5. Klicken Sie auf Weiteren Attestierer hinzufügen, wenn Sie weitere Attestierer hinzufügen möchten.

    6. Klicken Sie auf Attestierer hinzufügen, um die Regel zu speichern.

  8. Klicken Sie auf Hinzufügen, um die clusterspezifische Regel hinzuzufügen.

    Möglicherweise wird folgende Meldung angezeigt: "Dieser Cluster scheint nicht zu existieren. Sollte der Cluster zukünftig in GKE verfügbar sein, tritt diese Regel trotzdem in Kraft." Klicken Sie in diesem Fall noch einmal auf Hinzufügen, um die Regel zu speichern.

  9. Wenn Sie den Probelaufmodus aktivieren möchten, wählen Sie Probelaufmodus aus.

  10. Klicken Sie auf Save Policy (Richtlinie speichern).

Clusterspezifische Regel hinzufügen (Anthos-Cluster auf VMware)

Dieser Abschnitt gilt für Anthos-Cluster auf VMware.

So fügen Sie eine clusterspezifische Regel für einen Anthos-Clusters auf VMware-Cluster hinzu:

  1. Rufen Sie in der Cloud Console die Seite Binärautorisierung auf.

    Zur Seite "Binärautorisierung"

  2. Klicken Sie auf den Tab Richtlinie.

  3. Klicken Sie auf Richtlinie bearbeiten.

  4. Erweitern Sie unter Clusterspezifische Regeln den Abschnitt Regeln.

  5. Klicken Sie auf Add Rule (Regel hinzufügen).

  6. Geben Sie im Feld Cluster-Ressourcen-ID die Ressourcen-ID für den Cluster ein.

    Die Ressourcen-ID hat das Format global.CLUSTER_ID. Cluster-Ressourcen-ID für einen Cluster in Anthos-Clustern auf VMware abrufen

  7. Wählen Sie den Auswertungsmodus für die Standardregel aus.

    Der Auswertungsmodus gibt die Art der Einschränkung an, die die Binärautorisierung zum Zeitpunkt des Deployments erzwingt. Wählen Sie eine der folgenden Optionen aus, um den Auswertungsmodus festzulegen:

    • Alle Images zulassen: Ermöglicht die Bereitstellung aller Images.
    • Alle Images ablehnen: Verhindert, dass alle Images bereitgestellt werden.
    • Nur Images zulassen, die von den folgenden Attestierern genehmigt wurden: Ermöglicht die Bereitstellung eines Images, wenn dem Image eine Attestierung zugeordnet ist, die von einem der Attestierer, die Sie zu dieser Regel hinzufügen, verifiziert werden kann. Informationen zum Erstellen von Attestierern finden Sie unter Attestierer erstellen.

    Wenn Sie Nur Images zulassen, die von den folgenden Attestierern genehmigt wurden ausgewählt haben:

    1. Rufen Sie den Namen oder die Ressourcen-ID des Attestierers ab.

      In der Google Cloud Console können Sie auf der Seite Attestierer Ihre vorhandenen Attestierer ansehen oder einen neuen erstellen.

      Rufen Sie die Seite "Binärautorisierung einrichten" auf

    2. Klicken Sie auf Attestierer hinzufügen.

    3. Wählen Sie eine der folgenden Optionen aus:

      • Basierend auf dem Projekt und Attestierernamen hinzufügen

        Das Projekt bezieht sich auf die Projekt-ID des Projekts, in dem die Attestierer gespeichert werden. Ein Attestierername ist beispielsweise build-qa.

      • Basierend auf der Attestierer-Ressourcen-ID hinzufügen

        Eine Ressourcen-ID hat folgendes Format:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME
        
    4. Geben Sie unter Attestierer die entsprechenden Werte für die ausgewählte Option ein.

    5. Klicken Sie auf Weiteren Attestierer hinzufügen, wenn Sie weitere Attestierer hinzufügen möchten.

    6. Klicken Sie auf Attestierer hinzufügen, um die Regel zu speichern.

  8. Klicken Sie auf Hinzufügen, um die Regel zu speichern.

    Möglicherweise wird folgende Meldung angezeigt: "Dieser Cluster scheint nicht zu existieren. Diese Regel gilt weiterhin, wenn der angegebene Cluster in Zukunft in GKE verfügbar wird." Klicken Sie in diesem Fall noch einmal auf Hinzufügen, um die Regel zu speichern.

  9. Wenn Sie den Probelaufmodus aktivieren möchten, wählen Sie Probelaufmodus aus.

  10. Klicken Sie auf Save Policy (Richtlinie speichern).

Spezifische Regeln hinzufügen

Sie können Regeln erstellen, die entweder auf eine Mesh-Dienstidentität, ein Kubernetes-Dienstkonto oder einen Kubernetes-Namespace beschränkt sind. Sie können eine bestimmte Regel so hinzufügen oder ändern:

  1. Rufen Sie in der Cloud Console die Seite Binärautorisierung auf.

    Zur Seite "Binärautorisierung"

  2. Klicken Sie auf den Tab Richtlinie.

  3. Klicken Sie auf Richtlinie bearbeiten.

  4. Wenn kein bestimmter Regeltyp festgelegt ist, klicken Sie auf Spezifische Regeln erstellen.

    1. Klicken Sie auf Bestimmter Regeltyp, um den Regeltyp auszuwählen.

    2. Klicken Sie auf Ändern, um den Regeltyp zu aktualisieren.

  5. Wenn der spezifische Regeltyp vorhanden ist, können Sie ihn ändern. Klicken Sie dazu auf Typ bearbeiten.

  6. Klicken Sie auf Bestimmte Regel hinzufügen, um eine bestimmte Regel hinzuzufügen. Je nach ausgewähltem Regeltyp geben Sie eine ID so ein:

    • ASM Service Identity: Geben Sie Ihre ASM-Dienstidentität im folgenden Format ein: PROJECT_ID.svc.id.goog/ns/NAMESPACE/sa/SERVICE_ACCOUNT
    • Kubernetes-Dienstkonto: Geben Sie Ihr Kubernetes-Dienstkonto im folgenden Format ein: NAMESPACE:SERVICE_ACCOUNT.
    • Kubernetes Namespace: Geben Sie Ihren Kubernetes-Namespace im folgenden Format ein: NAMESPACE

    Ersetzen Sie je nach Regeltyp Folgendes:

    • PROJECT_ID ist die ID des Projekts, in dem Sie die Kubernetes-Ressourcen definieren.
    • NAMESPACE: Der Kubernetes-Namespace.
    • SERVICE_ACCOUNT: Das Dienstkonto.
  7. Wählen Sie den Auswertungsmodus für die Standardregel aus.

    Der Auswertungsmodus gibt die Art der Einschränkung an, die die Binärautorisierung zum Zeitpunkt des Deployments erzwingt. Wählen Sie eine der folgenden Optionen aus, um den Auswertungsmodus festzulegen:

    • Alle Images zulassen: Ermöglicht die Bereitstellung aller Images.
    • Alle Images ablehnen: Verhindert, dass alle Images bereitgestellt werden.
    • Nur Images zulassen, die von den folgenden Attestierern genehmigt wurden: Ermöglicht die Bereitstellung eines Images, wenn dem Image eine Attestierung zugeordnet ist, die von einem der Attestierer, die Sie zu dieser Regel hinzufügen, verifiziert werden kann. Informationen zum Erstellen von Attestierern finden Sie unter Attestierer erstellen.

    Wenn Sie Nur Images zulassen, die von den folgenden Attestierern genehmigt wurden ausgewählt haben:

    1. Rufen Sie den Namen oder die Ressourcen-ID des Attestierers ab.

      In der Google Cloud Console können Sie auf der Seite Attestierer Ihre vorhandenen Attestierer ansehen oder einen neuen erstellen.

      Rufen Sie die Seite "Binärautorisierung einrichten" auf

    2. Klicken Sie auf Attestierer hinzufügen.

    3. Wählen Sie eine der folgenden Optionen aus:

      • Basierend auf dem Projekt und Attestierernamen hinzufügen

        Das Projekt bezieht sich auf die Projekt-ID des Projekts, in dem die Attestierer gespeichert werden. Ein Attestierername ist beispielsweise build-qa.

      • Basierend auf der Attestierer-Ressourcen-ID hinzufügen

        Eine Ressourcen-ID hat folgendes Format:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME
        
    4. Geben Sie unter Attestierer die entsprechenden Werte für die ausgewählte Option ein.

    5. Klicken Sie auf Weiteren Attestierer hinzufügen, wenn Sie weitere Attestierer hinzufügen möchten.

    6. Klicken Sie auf Attestierer hinzufügen, um die Regel zu speichern.

  8. Klicken Sie auf Probelaufmodus, um den Probelaufmodus zu aktivieren.

  9. Klicken Sie auf Hinzufügen, um die jeweilige Regel zu speichern.

  10. Klicken Sie auf Save Policy (Richtlinie speichern).

Ausgenommene Images verwalten

Dieser Abschnitt gilt für GKE, Anthos-Cluster auf VMware, Cloud Run und Anthos Service Mesh.

Ein ausgenommenes Image ist ein Image, das durch einen Pfad angegeben wird und von den Richtlinienregeln ausgenommen ist. Die Binärautorisierung lässt die Bereitstellung von ausgenommenen Images immer zu.

Dieser Pfad kann einen Speicherort in Container Registry oder in einer anderen Container-Image-Registry angeben.

Cloud Run

Dieser Abschnitt gilt für Cloud Run.

Der Image-Name muss das Format IMAGE_PATH@* haben, z. B. us-docker.pkg.dev/cloudrun/container/hello@*.

Der Image-Name darf kein Tag enthalten. Wenn Sie einen Image-Namen formatieren möchten, mit dem Image-Namen ausgenommen werden, können Sie * als Platzhalter verwenden.

Pfadnamen können einen Digest angeben.

Systemrichtlinie aktivieren

Dieser Abschnitt gilt für GKE- und Anthos-Cluster auf VMware.

Alle von Google verwalteten System-Images als vertrauenswürdig einstufen ist eine Richtlinieneinstellung, die die Systemrichtlinie für Binärautorisierungen aktiviert. Wenn diese Einstellung zum Zeitpunkt der Bereitstellung aktiviert ist, nimmt die Binärautorisierung eine Liste der von Google verwalteten Systemimages, die von GKE benötigt werden, von der weiteren Richtlinienbewertung aus. Die Systemrichtlinie wird vor allen anderen Richtlinieneinstellungen ausgewertet.

So aktivieren Sie die Systemrichtlinie:

  1. Rufen Sie in der Cloud Console die Seite Binärautorisierung auf.

    Zur Binärautorisierung

  2. Klicken Sie auf Richtlinie bearbeiten.

  3. Wählen Sie im Abschnitt Images, die von den Bereitstellungsregeln ausgenommen sind die Option Allen von Google bereitgestellten Systemimages vertrauen aus.

    Klicken Sie auf Details ansehen, um die von der Systemrichtlinie ausgenommenen Images aufzurufen.

  4. Wenn Sie zusätzliche ausgenommene Images manuell angeben möchten, maximieren Sie den Abschnitt Image-Pfade.

    Klicken Sie dann auf Image-Pfad hinzufügen und geben Sie den Registry-Pfad für jedes weitere Image ein, für das Sie eine Ausnahme festlegen möchten.

  5. Klicken Sie auf Save Policy (Richtlinie speichern).

Nächste Schritte