Configura una política mediante Console

En esta página, se proporcionan instrucciones para configurar una política de autorización binaria mediante Google Cloud Console. Como alternativa, también puedes realizar estas tareas con los comandos de gcloud en la línea de comandos o mediante la API de REST. Este paso forma parte de la configuración de la autorización binaria.

Descripción general

Una política es un conjunto de reglas que rigen la implementación de una o más imágenes de contenedor. Cuando configuras una política, debes realizar las siguientes acciones:

  • Configurar la regla predeterminada
  • Agregar cualquier regla específica del clúster (opcional)
  • Agregar cualquier imagen exenta adicional (opcional)

La mayoría de las políticas comprueban que todos los certificadores necesarios verifiquen que una imagen de contenedor esté lista para implementarse. En este caso, también debes crear certificadores cuando configures la política.

Configura la regla predeterminada

Una regla es la parte de una política que define las restricciones que las imágenes de contenedor deben pasar antes de poder implementarlas. La regla predeterminada define las restricciones que se aplican a todas las imágenes de contenedor no exentas, excepto las que tienen su propia regla específica del clúster. Cada política tiene una regla predeterminada.

Para establecer la regla predeterminada, sigue estos pasos:

  1. Ve a la página Autorización binaria (Binary Authorization) en Google Cloud Console.

    Ir a la página Autorización binaria

  2. Haz clic en Editar política (Edit Policy).

    Captura de pantalla de la pestaña de la política que muestra la regla predeterminada

  3. Selecciona el modo de evaluación para la regla predeterminada. Esto especifica el tipo de restricción que la autorización binaria aplica a la regla.

    Captura de pantalla de la opción para elegir un tipo de regla predeterminado

    Las opciones son las siguientes:

    • Permitir todas las imágenes (Allow all images)
    • Inhabilitar todas las imágenes (Disallow all images)
    • Permitir solo las imágenes aprobadas por todos los certificadores que se indican a continuación (Allow only images that have been approved by all of the following attestors)
  4. Si seleccionaste Permitir solo las imágenes aprobadas por todos los certificadores que se indican a continuación (Allow only images that have been approved by all of the following attestors), haz clic en Agregar certificadores (Add Attestors) para agregar certificadores a tu proyecto.

    Captura de pantalla de la opción para elegir un tipo de regla predeterminado

  5. Ingresa el nombre completamente calificado del certificador en el campo Nombre del certificador (Attestor Name). El nombre tiene el formato projects/PROJECT_ID/attestors/ATTESTOR_NAME.

  6. Haz clic en Add Attestor(s).

  7. Si quieres usar la política en modo de ejecución de prueba, selecciona Modo de ejecución de prueba.

    El modo de ejecución de prueba es un modo de aplicación en una política que permite que se implementen imágenes que no cumplen con las especificaciones, pero escribe detalles sobre la implementación en el registro de auditoría en Cloud Logging. El modo de ejecución de prueba te permite probar una política en tu entorno de producción antes de que entre en vigor.

  8. Haz clic en Guardar política.

Configura reglas específicas del clúster (opcional)

Un clúster también puede tener una o más reglas específicas del clúster. Este tipo de regla se aplica solo a las imágenes de contenedor que se implementarán en clústeres específicos de Google Kubernetes Engine (GKE). Las reglas específicas del clúster son una parte opcional de una política.

Para agregar una regla específica del clúster, haz lo siguiente:

  1. Ve a la página Autorización binaria en Google Cloud Console.

    Ir a la página Autorización binaria

  2. Haz clic en Editar política.

  3. Expande la sección Reglas (Rules) que se encuentra debajo de Reglas específicas del clúster (Cluster-specific rules).

    Captura de pantalla de la configuración de reglas específicas del clúster

  4. Ingresa el ID de recurso del clúster en el campo ID de recurso del clúster (Cluster resource ID). Este es el identificador del clúster en el formato location.name (por ejemplo, us-central1-a.test-cluster).

    Captura de pantalla de la ventana Add cluster-specific rule

  5. Al igual que con la regla predeterminada anterior, selecciona un modo de evaluación para la regla de las opciones que se presentan:

    • Permitir todas las imágenes (Allow all images)
    • Inhabilitar todas las imágenes (Disallow all images)
    • Permitir solo las imágenes aprobadas por todos los certificadores que se indican a continuación (Allow only images that have been approved by all of the following attestors)
  6. Si seleccionaste Permitir solo las imágenes aprobadas por todos los certificadores que se indican a continuación (Allow only images that have been approved by all of the following attestors), haz clic en Agregar certificadores (Add Attestors) para agregar certificadores a tu proyecto.

    Captura de pantalla de la opción para elegir un tipo de regla predeterminado

  7. Ingresa el nombre completamente calificado del certificador en el campo Nombre del certificador (Attestor Name). El nombre tiene el formato projects/PROJECT_ID/attestors/ATTESTOR_NAME.

  8. Haz clic en Add Attestor(s).

  9. Si quieres usar la política en modo de ejecución de prueba, selecciona Modo de ejecución de prueba.

    El modo de ejecución de prueba es un modo de aplicación en una política que permite que se implementen imágenes que no cumplen con las especificaciones, pero escribe detalles sobre la implementación en el registro de auditoría en Cloud Logging. El modo de ejecución de prueba te permite probar una política en tu entorno de producción antes de que entre en vigor.

  10. Haz clic en Guardar política.

Administra imágenes exentas

Una imagen exenta es una imagen de contenedor que está exenta de las reglas de política. La autorización binaria siempre permite que se implementen imágenes exentas.

Cada política puede tener una lista blanca de imágenes exentas especificadas por su ruta de registro. Esta ruta puede ser una ubicación en Container Registry o en otro registro de imágenes de contenedor. Esta lista blanca se suma a las imágenes exentas del modo de evaluación de políticas globales, si están habilitadas.

Confiar en todas las imágenes de sistema mantenidas por Google es una configuración de política que hace que la autorización binaria exima una lista de imágenes del sistema mantenidas por Google de una evaluación de políticas más detallada. Cuando habilitas esta configuración, la aplicación de las políticas no bloquea las imágenes que requiere GKE. Esta configuración se evalúa antes que las otras opciones de configuración de políticas.

Para eximir a todas las imágenes mantenidas por Google de la aplicación de la autorización binaria, sigue estos pasos:

  1. Ve a la página Autorización binaria en Google Cloud Console.

    Ir a la página Autorización binaria

  2. Haz clic en Editar política.

  3. Selecciona Confiar en todas las imágenes de sistema proporcionadas por Google (Trust all Google-provided system images) en la sección Imágenes exentas de reglas de implementación (Images exempt from deployment rules).

    Captura de pantalla de la lista de imágenes exentas

  4. Para especificar de forma manual las imágenes exentas, expande la sección Rutas de imagen (Image paths).

    Luego, haz clic en Agregar ruta de imagen (Add image path) e ingresa la ruta de registro a cualquier imagen adicional que desees eximir.

  5. Haz clic en Guardar política.

Próximos pasos