Diese Seite enthält Anleitungen für die Konfiguration einer Richtlinie zur Binärautorisierung mit der Google Cloud Console. Alternativ können Sie diese Aufgaben mit der Google Cloud CLI oder der REST API ausführen. Dieser Schritt ist Teil der Einrichtung der Binärautorisierung.
Eine Richtlinie ist ein Satz von Regeln, die das Deployment eines oder mehrerer Container-Images steuern.
Hinweis
Aktivieren Sie die Binärautorisierung für Ihre Plattform:
GKE-Nutzer (Google Kubernetes Engine): Erstellen Sie einen Cluster mit aktivierter Binärautorisierung.
Cloud Run-Nutzer: Aktivieren Sie die Binärautorisierung für Ihren Dienst.
Wenn Sie Attestierungen verwenden möchten, empfehlen wir, vor dem Konfigurieren der Richtlinie Attestierer zu erstellen. Sie können Attestierer mithilfe der Google Cloud Console oder über ein Befehlszeilentool erstellen.
Wählen Sie die Projekt-ID des Projekts aus, in dem Sie die Binärautorisierung aktiviert haben.
Standardregel festlegen
Dieser Abschnitt gilt für GKE, GKE-Cluster, Cloud Run und Anthos Service Mesh.
Eine Regel ist der Teil einer Richtlinie, der Einschränkungen definiert, die Images erfüllen müssen, bevor sie bereitgestellt werden können. Die Standardregel definiert Einschränkungen, die für alle nicht ausgenommenen Container-Images gelten, die keine eigenen clusterspezifischen Regeln haben. Jede Richtlinie enthält eine Standardregel.
So legen Sie die Standardregel fest:
Rufen Sie in der Google Cloud Console die Seite Binärautorisierung auf.
Klicken Sie auf den Tab Richtlinie.
Klicken Sie auf Richtlinie bearbeiten.
Wählen Sie den Auswertungsmodus für die Standardregel aus.
Der Auswertungsmodus gibt die Art der Einschränkung an, die die Binärautorisierung zum Zeitpunkt des Deployments erzwingt. Wählen Sie eine der folgenden Optionen aus, um den Auswertungsmodus festzulegen:
- Alle Images zulassen: Ermöglicht die Bereitstellung aller Images.
- Alle Images ablehnen: Verhindert, dass alle Images bereitgestellt werden.
- Nur Images zulassen, die von den folgenden Attestierern genehmigt wurden: Ermöglicht die Bereitstellung eines Images, wenn das Image eine oder mehrere Attestierungen hat, die von allen Attestierern geprüft werden können, die Sie dieser Regel hinzufügen. Informationen zum Erstellen von Attestierern finden Sie unter Attestierer erstellen.
Wenn Sie Nur Images zulassen, die von den folgenden Attestierern genehmigt wurden ausgewählt haben:
Rufen Sie den Namen oder die Ressourcen-ID des Attestierers ab.
In der Google Cloud Console können Sie auf der Seite Attestierer Ihre vorhandenen Attestierer ansehen oder einen neuen erstellen.
Klicken Sie auf Attestierer hinzufügen.
Wählen Sie eine der folgenden Optionen aus:
Basierend auf dem Projekt und Attestierernamen hinzufügen
Das Projekt bezieht sich auf die Projekt-ID des Projekts, in dem die Attestierer gespeichert werden. Ein Attestierername ist beispielsweise
build-qa.Basierend auf der Attestierer-Ressourcen-ID hinzufügen
Eine Ressourcen-ID hat folgendes Format:
projects/PROJECT_ID/attestors/ATTESTOR_NAME
Geben Sie unter Attestierer die entsprechenden Werte für die ausgewählte Option ein.
Klicken Sie auf Weiteren Attestierer hinzufügen, wenn Sie weitere Attestierer hinzufügen möchten.
Klicken Sie auf Attestierer hinzufügen, um die Regel zu speichern.
Wenn Sie den Probelaufmodus aktivieren möchten, gehen Sie so vor:
Wählen Sie Probelaufmodus aus.
Klicken Sie auf Save Policy (Richtlinie speichern).
Clusterspezifische Regeln festlegen (optional)
Dieser Abschnitt gilt für GKE, GKE-Cluster und Anthos Service Mesh.
Eine Richtlinie kann auch eine oder mehrere clusterspezifische Regeln enthalten. Diese Art von Regel gilt für Container-Images, die nur in bestimmten Google Kubernetes Engine-Clustern (GKE) bereitgestellt werden sollen. Clusterspezifische Regeln sind optionaler Bestandteil einer Richtlinie.
Clusterspezifische Regel hinzufügen (GKE)
Dieser Abschnitt gilt für GKE- und GKE-Cluster.
So fügen Sie eine clusterspezifische Regel für einen GKE-Cluster hinzu:
Rufen Sie in der Google Cloud Console die Seite Binärautorisierung auf.
Klicken Sie auf den Tab Richtlinie.
Klicken Sie auf Richtlinie bearbeiten.
Erweitern Sie den Abschnitt Zusätzliche Einstellungen für GKE- und GKE Enterprise-Bereitstellungen.
Wenn kein bestimmter Regeltyp festgelegt ist, klicken Sie auf Spezifische Regeln erstellen.
Klicken Sie auf Bestimmter Regeltyp, um den Regeltyp auszuwählen.
Klicken Sie auf Ändern, um den Regeltyp zu ändern.
Klicken Sie auf Spezifische Regel hinzufügen.
Geben Sie im Feld Cluster-Ressourcen-ID die Ressourcen-ID für den Cluster ein.
Die Ressourcen-ID für den Cluster hat das Format
LOCATION.NAME, z. B.us-central1-a.test-cluster.Wählen Sie den Auswertungsmodus für die Standardregel aus.
Der Auswertungsmodus gibt die Art der Einschränkung an, die die Binärautorisierung zum Zeitpunkt des Deployments erzwingt. Wählen Sie eine der folgenden Optionen aus, um den Auswertungsmodus festzulegen:
- Alle Images zulassen: Ermöglicht die Bereitstellung aller Images.
- Alle Images ablehnen: Verhindert, dass alle Images bereitgestellt werden.
- Nur Images zulassen, die von den folgenden Attestierern genehmigt wurden: Ermöglicht die Bereitstellung eines Images, wenn das Image eine oder mehrere Attestierungen hat, die von allen Attestierern geprüft werden können, die Sie dieser Regel hinzufügen. Informationen zum Erstellen von Attestierern finden Sie unter Attestierer erstellen.
Wenn Sie Nur Images zulassen, die von den folgenden Attestierern genehmigt wurden ausgewählt haben:
Rufen Sie den Namen oder die Ressourcen-ID des Attestierers ab.
In der Google Cloud Console können Sie auf der Seite Attestierer Ihre vorhandenen Attestierer ansehen oder einen neuen erstellen.
Klicken Sie auf Attestierer hinzufügen.
Wählen Sie eine der folgenden Optionen aus:
Basierend auf dem Projekt und Attestierernamen hinzufügen
Das Projekt bezieht sich auf die Projekt-ID des Projekts, in dem die Attestierer gespeichert werden. Ein Attestierername ist beispielsweise
build-qa.Basierend auf der Attestierer-Ressourcen-ID hinzufügen
Eine Ressourcen-ID hat folgendes Format:
projects/PROJECT_ID/attestors/ATTESTOR_NAME
Geben Sie unter Attestierer die entsprechenden Werte für die ausgewählte Option ein.
Klicken Sie auf Weiteren Attestierer hinzufügen, wenn Sie weitere Attestierer hinzufügen möchten.
Klicken Sie auf Attestierer hinzufügen, um die Regel zu speichern.
Klicken Sie auf Hinzufügen, um die clusterspezifische Regel hinzuzufügen.
Möglicherweise wird folgende Meldung angezeigt: "Dieser Cluster scheint nicht zu existieren. Sollte der Cluster zukünftig in GKE verfügbar sein, tritt diese Regel trotzdem in Kraft." Klicken Sie in diesem Fall noch einmal auf Hinzufügen, um die Regel zu speichern.
Wenn Sie den Probelaufmodus aktivieren möchten, wählen Sie Probelaufmodus aus.
Klicken Sie auf Save Policy (Richtlinie speichern).
Clusterspezifische Regel hinzufügen (GKE-Cluster)
Dieser Abschnitt gilt für GKE-Cluster.
So fügen Sie eine clusterspezifische Regel für einen GKE-Cluster hinzu:
Rufen Sie in der Google Cloud Console die Seite Binärautorisierung auf.
Klicken Sie auf den Tab Richtlinie.
Klicken Sie auf Richtlinie bearbeiten.
Erweitern Sie den Abschnitt Zusätzliche Einstellungen für GKE- und GKE Enterprise-Bereitstellungen.
Wenn kein bestimmter Regeltyp festgelegt ist, klicken Sie auf Spezifische Regeln erstellen.
Klicken Sie auf Bestimmter Regeltyp, um den Regeltyp auszuwählen.
Klicken Sie auf Ändern, um den Regeltyp zu aktualisieren.
Klicken Sie auf Spezifische Regel hinzufügen.
Geben Sie im Feld Cluster-Ressourcen-ID die Ressourcen-ID für den Cluster ein.
- Bei GKE-angehängten Clustern und GKE on AWS ist das Format
CLUSTER_LOCATION.CLUSTER_NAME, z. B.us-central1-a.test-cluster. - Für GKE on Bare Metal und GKE on VMware lautet das Format
FLEET_MEMBERSHIP_LOCATION.FLEET_MEMBERSHIP_ID, z. B.global.test-membership.
- Bei GKE-angehängten Clustern und GKE on AWS ist das Format
Wählen Sie den Auswertungsmodus für die Standardregel aus.
Der Auswertungsmodus gibt die Art der Einschränkung an, die die Binärautorisierung zum Zeitpunkt des Deployments erzwingt. Wählen Sie eine der folgenden Optionen aus, um den Auswertungsmodus festzulegen:
- Alle Images zulassen: Ermöglicht die Bereitstellung aller Images.
- Alle Images ablehnen: Verhindert, dass alle Images bereitgestellt werden.
- Nur Images zulassen, die von den folgenden Attestierern genehmigt wurden: Ermöglicht die Bereitstellung eines Images, wenn das Image eine oder mehrere Attestierungen hat, die von allen Attestierern geprüft werden können, die Sie dieser Regel hinzufügen. Informationen zum Erstellen von Attestierern finden Sie unter Attestierer erstellen.
Wenn Sie Nur Images zulassen, die von den folgenden Attestierern genehmigt wurden ausgewählt haben:
Rufen Sie den Namen oder die Ressourcen-ID des Attestierers ab.
In der Google Cloud Console können Sie auf der Seite Attestierer Ihre vorhandenen Attestierer ansehen oder einen neuen erstellen.
Klicken Sie auf Attestierer hinzufügen.
Wählen Sie eine der folgenden Optionen aus:
Basierend auf dem Projekt und Attestierernamen hinzufügen
Das Projekt bezieht sich auf die Projekt-ID des Projekts, in dem die Attestierer gespeichert werden. Ein Attestierername ist beispielsweise
build-qa.Basierend auf der Attestierer-Ressourcen-ID hinzufügen
Eine Ressourcen-ID hat folgendes Format:
projects/PROJECT_ID/attestors/ATTESTOR_NAME
Geben Sie unter Attestierer die entsprechenden Werte für die ausgewählte Option ein.
Klicken Sie auf Weiteren Attestierer hinzufügen, wenn Sie weitere Attestierer hinzufügen möchten.
Klicken Sie auf Attestierer hinzufügen, um die Regel zu speichern.
Klicken Sie auf Hinzufügen, um die Regel zu speichern.
Möglicherweise wird folgende Meldung angezeigt: "Dieser Cluster scheint nicht zu existieren. Diese Regel gilt weiterhin, wenn der angegebene Cluster in Zukunft in GKE verfügbar wird." Klicken Sie in diesem Fall noch einmal auf Hinzufügen, um die Regel zu speichern.
Wenn Sie den Probelaufmodus aktivieren möchten, wählen Sie Probelaufmodus aus.
Klicken Sie auf Save Policy (Richtlinie speichern).
Spezifische Regeln hinzufügen
Sie können Regeln erstellen, die entweder auf eine Mesh-Dienstidentität, ein Kubernetes-Dienstkonto oder einen Kubernetes-Namespace beschränkt sind. Sie können eine bestimmte Regel so hinzufügen oder ändern:
Rufen Sie in der Google Cloud Console die Seite Binärautorisierung auf.
Klicken Sie auf den Tab Richtlinie.
Klicken Sie auf Richtlinie bearbeiten.
Erweitern Sie den Abschnitt Zusätzliche Einstellungen für GKE- und Anthos-Bereitstellungen.
Wenn kein bestimmter Regeltyp festgelegt ist, klicken Sie auf Spezifische Regeln erstellen.
Klicken Sie auf Bestimmter Regeltyp, um den Regeltyp auszuwählen.
Klicken Sie auf Ändern, um den Regeltyp zu aktualisieren.
Wenn der spezifische Regeltyp vorhanden ist, können Sie ihn ändern. Klicken Sie dazu auf Typ bearbeiten.
Klicken Sie auf Bestimmte Regel hinzufügen, um eine bestimmte Regel hinzuzufügen. Je nach ausgewähltem Regeltyp geben Sie eine ID so ein:
- ASM Service Identity: Geben Sie Ihre ASM-Dienstidentität im folgenden Format ein: PROJECT_ID.svc.id.goog/ns/NAMESPACE/sa/SERVICE_ACCOUNT
- Kubernetes-Dienstkonto: Geben Sie Ihr Kubernetes-Dienstkonto im folgenden Format ein: NAMESPACE:SERVICE_ACCOUNT.
- Kubernetes Namespace: Geben Sie Ihren Kubernetes-Namespace im folgenden Format ein: NAMESPACE
Ersetzen Sie je nach Regeltyp Folgendes:
- PROJECT_ID ist die ID des Projekts, in dem Sie die Kubernetes-Ressourcen definieren.
- NAMESPACE: der Kubernetes-Namespace
- SERVICE_ACCOUNT: Das Dienstkonto.
Wählen Sie den Auswertungsmodus für die Standardregel aus.
Der Auswertungsmodus gibt die Art der Einschränkung an, die die Binärautorisierung zum Zeitpunkt des Deployments erzwingt. Wählen Sie eine der folgenden Optionen aus, um den Auswertungsmodus festzulegen:
- Alle Images zulassen: Ermöglicht die Bereitstellung aller Images.
- Alle Images ablehnen: Verhindert, dass alle Images bereitgestellt werden.
- Nur Images zulassen, die von den folgenden Attestierern genehmigt wurden: Ermöglicht die Bereitstellung eines Images, wenn das Image eine oder mehrere Attestierungen hat, die von allen Attestierern geprüft werden können, die Sie dieser Regel hinzufügen. Informationen zum Erstellen von Attestierern finden Sie unter Attestierer erstellen.
Wenn Sie Nur Images zulassen, die von den folgenden Attestierern genehmigt wurden ausgewählt haben:
Rufen Sie den Namen oder die Ressourcen-ID des Attestierers ab.
In der Google Cloud Console können Sie auf der Seite Attestierer Ihre vorhandenen Attestierer ansehen oder einen neuen erstellen.
Klicken Sie auf Attestierer hinzufügen.
Wählen Sie eine der folgenden Optionen aus:
Basierend auf dem Projekt und Attestierernamen hinzufügen
Das Projekt bezieht sich auf die Projekt-ID des Projekts, in dem die Attestierer gespeichert werden. Ein Attestierername ist beispielsweise
build-qa.Basierend auf der Attestierer-Ressourcen-ID hinzufügen
Eine Ressourcen-ID hat folgendes Format:
projects/PROJECT_ID/attestors/ATTESTOR_NAME
Geben Sie unter Attestierer die entsprechenden Werte für die ausgewählte Option ein.
Klicken Sie auf Weiteren Attestierer hinzufügen, wenn Sie weitere Attestierer hinzufügen möchten.
Klicken Sie auf Attestierer hinzufügen, um die Regel zu speichern.
Klicken Sie auf Probelaufmodus, um den Probelaufmodus zu aktivieren.
Klicken Sie auf Hinzufügen, um die jeweilige Regel zu speichern.
Klicken Sie auf Save Policy (Richtlinie speichern).
Ausgenommene Images verwalten
Dieser Abschnitt gilt für GKE, GKE-Cluster, Cloud Run und Anthos Service Mesh.
Ein ausgenommenes Image ist ein Image, das durch einen Pfad angegeben wird und von den Richtlinienregeln ausgenommen ist. Die Binärautorisierung lässt die Bereitstellung von ausgenommenen Images immer zu.
Dieser Pfad kann einen Speicherort in Container Registry oder in einer anderen Container-Image-Registry angeben.
Cloud Run
Dieser Abschnitt gilt für Cloud Run.
Sie können nicht direkt Image-Namen angeben, die ein Tag enthalten. Sie können beispielsweise nicht IMAGE_PATH:latest angeben.
Wenn Sie Image-Namen angeben möchten, die Tags enthalten, müssen Sie den Image-Namen mithilfe eines Platzhalters so angeben:
*für alle Versionen eines einzelnen Images. Beispiel:us-docker.pkg.dev/myproject/container/hello@***für alle Images in einem Projekt. Beispiel:us-docker.pkg.dev/myproject/**
Sie können Pfadnamen verwenden, um einen Digest im Format IMAGE_PATH@DIGEST anzugeben.
Systemrichtlinie aktivieren
Dieser Abschnitt gilt für GKE- und GKE-Cluster.
Allen von Google bereitgestellten System-Images vertrauen ist eine Richtlinieneinstellung, die die Systemrichtlinie für Binärautorisierungen aktiviert. Wenn diese Einstellung zum Zeitpunkt der Bereitstellung aktiviert ist, nimmt die Binärautorisierung eine Liste der von Google verwalteten Systemimages, die von GKE benötigt werden, von der weiteren Richtlinienbewertung aus. Die Systemrichtlinie wird vor allen anderen Richtlinieneinstellungen ausgewertet.
So aktivieren Sie die Systemrichtlinie:
Kehren Sie zur Seite Binärautorisierung in der Google Cloud Console zurück.
Klicken Sie auf Richtlinie bearbeiten.
Erweitern Sie den Abschnitt Zusätzliche Einstellungen für GKE- und Anthos-Bereitstellungen.
Wählen Sie im Abschnitt Ausnahme für Google-System-Image die Option Allen von Google bereitgestellten Systemimages vertrauen aus.
Klicken Sie auf Details ansehen, um die von der Systemrichtlinie ausgenommenen Images aufzurufen.
Wenn Sie zusätzliche ausgenommene Images manuell angeben möchten, maximieren Sie den Abschnitt unter Images, die von dieser Richtlinie ausgenommen sind die Option Benutzerdefinierte Ausnahmeregeln.
Klicken Sie dann auf Image-Muster hinzufügen und geben Sie den Registry-Pfad für jedes weitere Image ein, für das Sie eine Ausnahme festlegen möchten.
Klicken Sie auf Save Policy (Richtlinie speichern).
Nächste Schritte
- Verwenden Sie den Attestierer
built-by-cloud-build, um nur von Cloud Build erstellte Images bereitzustellen (Vorschau). - Attestierungen verwenden
- GKE-Image bereitstellen.
- Cloud-Audit-Logs-Ereignisse ansehen
- Kontinuierliche Validierung verwenden.
- Verwenden Sie die kontinuierliche Legacy-Validierung (verworfen), um die Richtliniencompliance zu prüfen.