Configura una política con la consola de Google Cloud

En esta página, se proporcionan instrucciones para configurar una política de autorización binaria mediante la consola de Google Cloud. Como alternativa, puedes realizar estas tareas mediante Google Cloud CLI o la API de REST. Este paso forma parte de la configuración de la autorización binaria.

Una política es un conjunto de reglas que rigen la implementación de una o más imágenes de contenedor.

Antes de comenzar

Habilita la autorización binaria.
Habilita la autorización binaria en tu plataforma:
- Usuarios de Google Kubernetes Engine (GKE): Crea un clúster con la autorización binaria habilitada.
- Usuarios de Cloud Run: Habilita la autorización binaria en tu servicio.
Si deseas usar certificaciones, te recomendamos que crees certificadores antes de configurar la política. Puedes crear certificadores mediante la consola de Google Cloud o una herramienta de línea de comandos.
Selecciona el ID del proyecto en el que habilitaste la autorización binaria.

Configura la regla predeterminada

Esta sección se aplica a GKE, clústeres de GKE, Cloud Run y Anthos Service Mesh.

Una regla es la parte de una política que define las restricciones que las imágenes deben cumplir para que puedan implementarse. La regla predeterminada define las restricciones que se aplican a todas las imágenes de contenedor no exentas que no tienen sus propias reglas específicas del clúster. Cada política tiene una regla predeterminada.

Para establecer la regla predeterminada, haz lo siguiente:

En la consola de Google Cloud, ve a la página Autorización binaria.

Ir a la página Autorización binaria
Haz clic en la pestaña Política.
Haz clic en Editar política.
Selecciona el modo de evaluación para la regla predeterminada.

El modo de evaluación especifica el tipo de restricción que la autorización binaria aplica en el momento de la implementación. Para configurar el modo de evaluación, selecciona una de las siguientes opciones:
- Permitir todas las imágenes: Permite que se implementen todas las imágenes.
- Inhabilitar todas las imágenes: No permite que se implementen todas las imágenes.
- Permitir solo las imágenes aprobadas por los siguientes certificadores: Permite que una imagen se implemente si tiene uno o más certificaciones que puedan verificar todos los certificadores que tú agregar a esta regla. Para obtener información sobre cómo crear certificadores, consulta Crea certificadores.
Si seleccionaste Solo imágenes aprobadas por los siguientes certificadores:
1. Obtén el nombre o ID de recurso del certificador.
  
  En la consola de Google Cloud, en la página Certificadores, puedes ver tus certificadores existentes o crear uno nuevo.
  
  Ir a la página Autorización binaria.
2. Haz clic en Agregar certificadores.
3. Selecciona una de las opciones siguientes:
  - Agregar por proyecto y nombre del certificador
    
    El proyecto hace referencia al ID del proyecto que almacena tus certificadores. Un ejemplo de un nombre de certificador es build-qa.
  - Agregar por ID de recurso del certificador
    
    Un ID de recurso tiene el siguiente formato:
```
projects/PROJECT_ID/attestors/ATTESTOR_NAME
```
4. En Certificadores, ingresa los valores apropiados para la opción que seleccionaste.
5. Haz clic en Agregar otro certificador si deseas agregar certificadores adicionales.
6. Haz clic en Agregar certificadores para guardar la regla.

Si deseas habilitar el modo de ejecución de prueba, haz lo siguiente:

Selecciona Modo de ejecución de prueba.
Haga clic en Save Policy.

Configura reglas específicas del clúster (opcional)

Esta sección se aplica a GKE, clústeres de GKE y Anthos Service Mesh.

Una política también puede tener una o más reglas específicas del clúster. Este tipo de regla se aplica solo a las imágenes de contenedor que se implementarán en clústeres específicos de Google Kubernetes Engine (GKE). Las reglas específicas del clúster son una parte opcional de una política.

Agrega una regla específica del clúster (GKE)

Esta sección se aplica a GKE y clústeres de GKE.

A fin de agregar una regla específica del clúster para un clúster de GKE, haz lo siguiente:

En la consola de Google Cloud, ve a la página Autorización binaria.

Ir a la página Autorización binaria
Haz clic en la pestaña Política.
Haz clic en Editar política.
Expande la sección Configuración adicional para implementaciones de GKE y GKE Enterprise.
Si no se configuró ningún tipo de regla específica, haz clic en Crear reglas específicas.
1. Para seleccionar el tipo de regla, haz clic en Tipo de regla específica.
2. Para cambiar el tipo de regla, haz clic en Cambiar.
Haz clic en Agregar regla específica.
En el campo ID de recurso del clúster, ingresa el ID de recurso del clúster.

El ID de recurso del clúster tiene el formato LOCATION.NAME, por ejemplo, us-central1-a.test-cluster.
Selecciona el modo de evaluación para la regla predeterminada.

El modo de evaluación especifica el tipo de restricción que la autorización binaria aplica en el momento de la implementación. Para configurar el modo de evaluación, selecciona una de las siguientes opciones:
- Permitir todas las imágenes: Permite que se implementen todas las imágenes.
- Inhabilitar todas las imágenes: No permite que se implementen todas las imágenes.
- Permitir solo las imágenes aprobadas por los siguientes certificadores: Permite que una imagen se implemente si tiene uno o más certificaciones que puedan verificar todos los certificadores que tú agregar a esta regla. Para obtener información sobre cómo crear certificadores, consulta Crea certificadores.
Si seleccionaste Solo imágenes aprobadas por los siguientes certificadores:
1. Obtén el nombre o ID de recurso del certificador.
  
  En la consola de Google Cloud, en la página Certificadores, puedes ver tus certificadores existentes o crear uno nuevo.
  
  Ir a la página Autorización binaria.
2. Haz clic en Agregar certificadores.
3. Selecciona una de las opciones siguientes:
  - Agregar por proyecto y nombre del certificador
    
    El proyecto hace referencia al ID del proyecto que almacena tus certificadores. Un ejemplo de un nombre de certificador es build-qa.
  - Agregar por ID de recurso del certificador
    
    Un ID de recurso tiene el siguiente formato:
```
projects/PROJECT_ID/attestors/ATTESTOR_NAME
```
4. En Certificadores, ingresa los valores apropiados para la opción que seleccionaste.
5. Haz clic en Agregar otro certificador si deseas agregar certificadores adicionales.
6. Haz clic en Agregar certificadores para guardar la regla.
Haz clic en Agregar para agregar la regla específica del clúster.

Es posible que veas un mensaje como el siguiente: “Parece que este clúster no existe. Esta regla seguirá surtiendo efecto si este clúster se encuentra disponible en GKE en el futuro”. De ser así, vuelve a hacer clic en Agregar para guardar la regla.
Si deseas habilitar el modo de ejecución de prueba, selecciona Modo de ejecución de prueba.
Haga clic en Save Policy.

Agrega una regla específica del clúster (clústeres de GKE)

Esta sección se aplica a clústeres de GKE.

A fin de agregar una regla específica del clúster para un clúster de GKE, haz lo siguiente:

En la consola de Google Cloud, ve a la página Autorización binaria.

Ir a la página Autorización binaria
Haz clic en la pestaña Política.
Haz clic en Editar política.
Expande la sección Configuración adicional para implementaciones de GKE y GKE Enterprise.
Si no se configuró ningún tipo de regla específica, haz clic en Crear reglas específicas.
1. Para seleccionar el tipo de regla, haz clic en Tipo de regla específica.
2. Para actualizar el tipo de regla, haz clic en Cambiar.
Haz clic en Agregar regla específica.
En el campo ID de recurso del clúster, ingresa el ID de recurso del clúster.
- Para los clústeres adjuntos de GKE y GKE on AWS, el formato es CLUSTER_LOCATION.CLUSTER_NAME, por ejemplo, us-central1-a.test-cluster.
- Para GKE en Bare Metal y GKE en VMware, el formato es FLEET_MEMBERSHIP_LOCATION.FLEET_MEMBERSHIP_ID, por ejemplo, global.test-membership.
Selecciona el modo de evaluación para la regla predeterminada.

El modo de evaluación especifica el tipo de restricción que la autorización binaria aplica en el momento de la implementación. Para configurar el modo de evaluación, selecciona una de las siguientes opciones:
- Permitir todas las imágenes: Permite que se implementen todas las imágenes.
- Inhabilitar todas las imágenes: No permite que se implementen todas las imágenes.
- Permitir solo las imágenes aprobadas por los siguientes certificadores: Permite que una imagen se implemente si tiene uno o más certificaciones que puedan verificar todos los certificadores que tú agregar a esta regla. Para obtener información sobre cómo crear certificadores, consulta Crea certificadores.
Si seleccionaste Solo imágenes aprobadas por los siguientes certificadores:
1. Obtén el nombre o ID de recurso del certificador.
  
  En la consola de Google Cloud, en la página Certificadores, puedes ver tus certificadores existentes o crear uno nuevo.
  
  Ir a la página Autorización binaria.
2. Haz clic en Agregar certificadores.
3. Selecciona una de las opciones siguientes:
  - Agregar por proyecto y nombre del certificador
    
    El proyecto hace referencia al ID del proyecto que almacena tus certificadores. Un ejemplo de un nombre de certificador es build-qa.
  - Agregar por ID de recurso del certificador
    
    Un ID de recurso tiene el siguiente formato:
```
projects/PROJECT_ID/attestors/ATTESTOR_NAME
```
4. En Certificadores, ingresa los valores apropiados para la opción que seleccionaste.
5. Haz clic en Agregar otro certificador si deseas agregar certificadores adicionales.
6. Haz clic en Agregar certificadores para guardar la regla.
Haz clic en Agregar para guardar la regla.

Es posible que veas un mensaje como el siguiente: “Parece que este clúster no existe. Esta regla seguirá surtiendo efecto si el clúster especificado se encuentra disponible en GKE en el futuro”. En este caso, haz clic en Agregar de nuevo para guardar la regla.
Si deseas habilitar el modo de ejecución de prueba, selecciona Modo de ejecución de prueba.
Haga clic en Save Policy.

Agrega reglas específicas

Puedes crear reglas que se apliquen a una identidad de servicio de malla, una cuenta de servicio de Kubernetes o un espacio de nombres de Kubernetes. Puedes agregar o modificar una regla específica de la siguiente manera:

En la consola de Google Cloud, ve a la página Autorización binaria.

Ir a la página Autorización binaria
Haz clic en la pestaña Política.
Haz clic en Editar política.
Expande la sección Configuración adicional para implementaciones de GKE y Anthos.
Si no se configuró ningún tipo de regla específica, haz clic en Crear reglas específicas.
1. Haz clic en Tipo de regla específica para seleccionar el tipo de regla.
2. Haz clic en Cambiar para actualizar el tipo de regla.
Si el tipo de regla específica existe, puedes cambiar el tipo de regla si haces clic en Editar tipo.

Nota: Puedes establecer un tipo de regla específica por política. Si se cambia el tipo de regla, las reglas creadas para el tipo original se borrarán cuando se guarde la página de la política.
Para agregar una regla específica, haz clic en Agregar regla específica. Según el tipo de regla que elijas, debes ingresar un ID de la manera siguiente:
- Identidad de servicio de ASM: Ingresa tu identidad de servicio de ASM, que tiene el siguiente formato: PROJECT_ID.svc.id.goog/ns/NAMESPACE/sa/SERVICE_ACCOUNT
- Cuenta de servicio de Kubernetes: Ingresa tu cuenta de servicio de Kubernetes, que tiene el siguiente formato: NAMESPACE:SERVICE_ACCOUNT.
- Espacio de nombres de Kubernetes: Ingresa el espacio de nombres de Kubernetes, que tiene el siguiente formato: NAMESPACE
Reemplaza lo siguiente según sea necesario, dependiendo del tipo de regla:
- PROJECT_ID: El ID del proyecto en el que defines tus recursos de Kubernetes.
- NAMESPACE: El espacio de nombres de Kubernetes.
- SERVICE_ACCOUNT: La cuenta de servicio.
Selecciona el modo de evaluación para la regla predeterminada.

El modo de evaluación especifica el tipo de restricción que la autorización binaria aplica en el momento de la implementación. Para configurar el modo de evaluación, selecciona una de las siguientes opciones:
- Permitir todas las imágenes: Permite que se implementen todas las imágenes.
- Inhabilitar todas las imágenes: No permite que se implementen todas las imágenes.
- Permitir solo las imágenes aprobadas por los siguientes certificadores: Permite que una imagen se implemente si tiene uno o más certificaciones que puedan verificar todos los certificadores que tú agregar a esta regla. Para obtener información sobre cómo crear certificadores, consulta Crea certificadores.
Si seleccionaste Solo imágenes aprobadas por los siguientes certificadores:
1. Obtén el nombre o ID de recurso del certificador.
  
  En la consola de Google Cloud, en la página Certificadores, puedes ver tus certificadores existentes o crear uno nuevo.
  
  Ir a la página Autorización binaria.
2. Haz clic en Agregar certificadores.
3. Selecciona una de las opciones siguientes:
  - Agregar por proyecto y nombre del certificador
    
    El proyecto hace referencia al ID del proyecto que almacena tus certificadores. Un ejemplo de un nombre de certificador es build-qa.
  - Agregar por ID de recurso del certificador
    
    Un ID de recurso tiene el siguiente formato:
```
projects/PROJECT_ID/attestors/ATTESTOR_NAME
```
4. En Certificadores, ingresa los valores apropiados para la opción que seleccionaste.
5. Haz clic en Agregar otro certificador si deseas agregar certificadores adicionales.
6. Haz clic en Agregar certificadores para guardar la regla.
Haz clic en Modo de ejecución de prueba para habilitar el modo de ejecución de prueba.
Haz clic en Agregar para guardar la regla específica.
Haga clic en Save Policy.

Administra imágenes exentas

Esta sección se aplica a GKE, clústeres de GKE, Cloud Run y Anthos Service Mesh.

Una imagen exenta es una imagen especificada por una ruta de acceso, que está exenta de las reglas de política. La autorización binaria siempre permite que se implementen las imágenes exentas.

Esta ruta puede especificar una ubicación en Container Registry o en otro registro de imágenes de contenedor.

Cloud Run

Esta sección se aplica a Cloud Run.

No puedes especificar directamente los nombres de imágenes que contengan una etiqueta. Por ejemplo, no puedes especificar IMAGE_PATH:latest.

Si deseas especificar nombres de imágenes que contienen etiquetas, debes especificar el nombre de la imagen con un comodín de la siguiente manera:

* para todas las versiones de una sola imagen; por ejemplo, us-docker.pkg.dev/myproject/container/hello@*
** para todas las imágenes de un proyecto; por ejemplo, us-docker.pkg.dev/myproject/**

Puedes usar nombres de rutas para especificar un resumen en el formato IMAGE_PATH@DIGEST.

Habilita la política del sistema

Esta sección se aplica a GKE y clústeres de GKE.

Confiar en todas las imágenes del sistema proporcionadas por Google es una configuración de política que habilita la política del sistema de autorización binaria. Cuando esta configuración se habilita en el momento de la implementación, la autorización binaria exime de evaluaciones adicionales de política a una lista de imágenes del sistema mantenidas por Google que exige GKE. La política del sistema se evalúa antes que cualquiera de tus otras configuraciones de política.

Para habilitar la política del sistema, haz lo siguiente:

Ve a la página Autorización binaria (Binary Authorization) en la consola de Google Cloud.

Ve a Autorización binaria
Haz clic en Editar política.
Expande la sección Configuración adicional para implementaciones de GKE y Anthos.
Selecciona Confiar en todas las imágenes del sistema proporcionadas por Google en la sección Exención de imágenes del sistema de Google.

Para ver las imágenes exentas por la política del sistema, haz clic en Ver detalles.

Nota: La información de la política del sistema puede diferir de forma temporal entre regiones mientras Google actualiza la lista de entidades permitidas. La lista de imágenes que se muestra es del último grupo de regiones que se actualizó. Debido a que la mayoría de los cambios en la política del sistema son adiciones, el resultado muestra el conjunto de imágenes del sistema que están permitidas en todas las regiones actualmente. Puedes ver la política del sistema de una región específica mediante un comando gcloud.
Para especificar de forma manual las imágenes exentas, expande la sección Reglas de exención personalizadas en Imágenes exentas de esta política.

Luego, haz clic en Agregar patrón de imagen e ingresa la ruta de registro a cualquier imagen adicional que desees eximir.
Haga clic en Save Policy.

¿Qué sigue?

Usa el certificador built-by-cloud-build para implementar solo imágenes compiladas por Cloud Build (Vista previa).
Usa certificaciones.
Implementa una imagen de GKE.
Consultar los eventos de los registros de auditoría de Cloud.
Usar la validación continua para verificar el cumplimiento de las políticas.