Configurar uma política usando o Console do Cloud

Nesta página, fornecemos instruções para configurar uma política de autorização binária usando o Console do Google Cloud. Como alternativa, você pode executar essas tarefas usando a ferramenta de linha de comando gcloud ou a API REST. Esta etapa faz parte da configuração da autorização binária.

Uma política é um conjunto de regras que regem a implantação de uma ou mais imagens de contêiner.

Antes de começar

  1. Ative a autorização binária.
  2. Crie um cluster.
  3. Se você pretende usar atestados, recomendamos criar atestadores antes de configurar a política. É possível criar atestadores usando o Console do Cloud ou por meio de uma ferramenta de linha de comando.
  4. Selecione o ID do projeto em que você ativou a autorização binária.

Definir a regra padrão

Esta seção se aplica ao GKE, aos clusters do Anthos no VMware, Cloud Run e ao Anthos Service Mesh.

Uma regra é a parte de uma política que define restrições a que as imagens de contêiner precisam atender antes de serem implantadas. A regra padrão define restrições que se aplicam a todas as imagens de contêiner não isentas que não têm as próprias regras específicas do cluster. Cada política tem uma regra padrão.

Para definir a regra padrão, faça o seguinte:

  1. No Console do Cloud, acesse a página Autorização binária.

    Acessar a página "Autorização binária"

  2. Clique na guia Política.

  3. Clique em Editar política.

  4. Selecione o modo de avaliação da regra padrão.

    O modo de avaliação especifica o tipo de restrição que a autorização binária aplica no momento da implantação. Para definir o modo de avaliação, selecione uma das seguintes opções:

    • Permitir todas as imagens: permite que todas as imagens sejam implantadas.
    • Negar todas as imagens: impede a implantação de todas as imagens.
    • Permitir somente imagens que foram aprovadas pelos seguintes atestadores: permite que uma imagem seja implantada se ela tiver um atestado associado que pode ser verificado por um dos atestadores que você adiciona a essa regra. Para saber como criar atestadores, consulte Como criar atestadores.

    Se você selecionou Permitir somente imagens que foram aprovadas pelos seguintes atestadores:

    1. Encontre o nome ou o ID do recurso do seu atestador.

      No Console do Google Cloud, na página Atestadores, é possível visualizar os atestadores existentes ou criar um novo.

      Acesse a página Atestadores da autorização binária.

    2. Clique em Adicionar atestadores.

    3. Selecione uma das seguintes opções:

      • Adicionar por projeto e nome de atestador

        O projeto refere-se ao ID do projeto que armazena seus atestadores. Um exemplo de nome de atestador é build-qa.

      • Adicionar por código de recurso do atestador

        Um ID de recurso tem este formato:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME
        
    4. Em Atestadores, insira o(s) valore(s) apropriado(s) para a opção selecionada.

    5. Clique em Adicionar outro atestador se você quiser adicionar outros atestadores.

    6. Clique em Adicionar atestadores para salvar a regra.

Se você quiser ativar o modo de teste, faça o seguinte:

  1. Selecione Modo de teste.

  2. Clique em Save Policy.

Definir regras específicas do cluster (opcional)

Esta seção se aplica aos clusters do GKE, Anthos no VMware e Anthos Service Mesh.

Uma política também pode ter uma ou mais regras específicas do cluster. Esse tipo de regra se aplica a imagens de contêiner que serão implantadas apenas em clusters específicos do Google Kubernetes Engine (GKE). As regras específicas do cluster são uma parte opcional de uma política.

Adicionar uma regra específica do cluster (GKE)

Esta seção se aplica ao GKE e aos clusters do Anthos no VMware.

Para adicionar uma regra específica de cluster para um cluster do GKE, faça o seguinte:

  1. No Console do Cloud, acesse a página Autorização binária.

    Acessar a página "Autorização binária"

  2. Clique na guia Política.

  3. Clique em Editar política.

  4. Em Regras específicas do cluster, expanda a seção Regras.

  5. Clique em Add Rule.

  6. No campo Código do recurso do cluster, insira o código do recurso para o cluster.

    O ID do recurso do cluster tem o formato LOCATION.NAME, por exemplo, us-central1-a.test-cluster.

  7. Selecione o modo de avaliação da regra padrão.

    O modo de avaliação especifica o tipo de restrição que a autorização binária aplica no momento da implantação. Para definir o modo de avaliação, selecione uma das seguintes opções:

    • Permitir todas as imagens: permite que todas as imagens sejam implantadas.
    • Negar todas as imagens: impede a implantação de todas as imagens.
    • Permitir somente imagens que foram aprovadas pelos seguintes atestadores: permite que uma imagem seja implantada se ela tiver um atestado associado que pode ser verificado por um dos atestadores que você adiciona a essa regra. Para saber como criar atestadores, consulte Como criar atestadores.

    Se você selecionou Permitir somente imagens que foram aprovadas pelos seguintes atestadores:

    1. Encontre o nome ou o ID do recurso do seu atestador.

      No Console do Google Cloud, na página Atestadores, é possível visualizar os atestadores existentes ou criar um novo.

      Acesse a página Atestadores da autorização binária.

    2. Clique em Adicionar atestadores.

    3. Selecione uma das seguintes opções:

      • Adicionar por projeto e nome de atestador

        O projeto refere-se ao ID do projeto que armazena seus atestadores. Um exemplo de nome de atestador é build-qa.

      • Adicionar por código de recurso do atestador

        Um ID de recurso tem este formato:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME
        
    4. Em Atestadores, insira o(s) valore(s) apropriado(s) para a opção selecionada.

    5. Clique em Adicionar outro atestador se você quiser adicionar outros atestadores.

    6. Clique em Adicionar atestadores para salvar a regra.

  8. Clique em Adicionar para adicionar a regra específica do cluster.

    Talvez você veja a mensagem "Parece que este cluster não existe. Esta regra ainda estará em vigor se o cluster estiver disponível no GKE futuramente." Se isso acontecer, clique em Adicionar novamente para salvar a regra.

  9. Se você quiser ativar o modo de teste, selecione Modo de teste.

  10. Clique em Save Policy.

Adicionar uma regra específica de cluster (clusters do Anthos no VMware)

Esta seção se aplica aos clusters do Anthos no VMware.

Para adicionar uma regra específica de cluster aos clusters do Anthos no VMware, faça o seguinte:

  1. No Console do Cloud, acesse a página Autorização binária.

    Acessar a página "Autorização binária"

  2. Clique na guia Política.

  3. Clique em Editar política.

  4. Em Regras específicas do cluster, expanda a seção Regras.

  5. Clique em Add Rule.

  6. No campo Código do recurso do cluster, insira o código do recurso para o cluster.

    O ID do recurso tem este formato: global.CLUSTER_ID. Saiba como encontrar o ID do recurso do cluster de um cluster nos clusters do Anthos no VMware.

  7. Selecione o modo de avaliação da regra padrão.

    O modo de avaliação especifica o tipo de restrição que a autorização binária aplica no momento da implantação. Para definir o modo de avaliação, selecione uma das seguintes opções:

    • Permitir todas as imagens: permite que todas as imagens sejam implantadas.
    • Negar todas as imagens: impede a implantação de todas as imagens.
    • Permitir somente imagens que foram aprovadas pelos seguintes atestadores: permite que uma imagem seja implantada se ela tiver um atestado associado que pode ser verificado por um dos atestadores que você adiciona a essa regra. Para saber como criar atestadores, consulte Como criar atestadores.

    Se você selecionou Permitir somente imagens que foram aprovadas pelos seguintes atestadores:

    1. Encontre o nome ou o ID do recurso do seu atestador.

      No Console do Google Cloud, na página Atestadores, é possível visualizar os atestadores existentes ou criar um novo.

      Acesse a página Atestadores da autorização binária.

    2. Clique em Adicionar atestadores.

    3. Selecione uma das seguintes opções:

      • Adicionar por projeto e nome de atestador

        O projeto refere-se ao ID do projeto que armazena seus atestadores. Um exemplo de nome de atestador é build-qa.

      • Adicionar por código de recurso do atestador

        Um ID de recurso tem este formato:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME
        
    4. Em Atestadores, insira o(s) valore(s) apropriado(s) para a opção selecionada.

    5. Clique em Adicionar outro atestador se você quiser adicionar outros atestadores.

    6. Clique em Adicionar atestadores para salvar a regra.

  8. Clique em Adicionar para salvar a regra.

    Talvez você veja a mensagem "Parece que este cluster não existe. Esta regra ainda entrará em vigor se o cluster especificado estiver disponível no GKE no futuro." Se isso acontecer, clique em Adicionar novamente para salvar a regra.

  9. Se você quiser ativar o modo de teste, selecione Modo de teste.

  10. Clique em Save Policy.

Adicionar regras específicas

É possível criar regras com escopo para uma identidade de serviço de malha, uma conta de serviço do Kubernetes ou um namespace do Kubernetes. É possível adicionar ou modificar uma regra específica da seguinte maneira:

  1. No Console do Cloud, acesse a página Autorização binária.

    Acessar a página "Autorização binária"

  2. Clique na guia Política.

  3. Clique em Editar política.

  4. Se nenhum tipo de regra específica for definido, clique em Criar regras específicas.

    1. Clique em Tipo de regra específica para selecionar o tipo de regra.

    2. Clique em Alterar para atualizar o tipo de regra.

  5. Se o tipo de regra específico existir, você poderá alterá-lo clicando em Editar tipo.

  6. Para adicionar uma regra específica, clique em Adicionar regra específica. Dependendo do tipo de regra escolhida, insira um ID da seguinte maneira:

    • Identidade de serviço do ASM: insira sua identidade de serviço do ASM, que tem o seguinte formato: PROJECT_ID.svc.id.goog/ns/NAMESPACE/sa/SERVICE_ACCOUNT
    • Conta de serviço do Kubernetes: insira a conta de serviço do Kubernetes, que tem o seguinte formato: NAMESPACE:SERVICE_ACCOUNT.
    • Namespace do Kubernetes: insira o namespace do Kubernetes, que tem o seguinte formato: NAMESPACE

    Dependendo do tipo de regra, substitua:

    • PROJECT_ID: o ID do projeto em que você define os recursos do Kubernetes.
    • NAMESPACE: o namespace do Kubernetes.
    • SERVICE_ACCOUNT: a conta de serviço.
  7. Selecione o modo de avaliação da regra padrão.

    O modo de avaliação especifica o tipo de restrição que a autorização binária aplica no momento da implantação. Para definir o modo de avaliação, selecione uma das seguintes opções:

    • Permitir todas as imagens: permite que todas as imagens sejam implantadas.
    • Negar todas as imagens: impede a implantação de todas as imagens.
    • Permitir somente imagens que foram aprovadas pelos seguintes atestadores: permite que uma imagem seja implantada se ela tiver um atestado associado que pode ser verificado por um dos atestadores que você adiciona a essa regra. Para saber como criar atestadores, consulte Como criar atestadores.

    Se você selecionou Permitir somente imagens que foram aprovadas pelos seguintes atestadores:

    1. Encontre o nome ou o ID do recurso do seu atestador.

      No Console do Google Cloud, na página Atestadores, é possível visualizar os atestadores existentes ou criar um novo.

      Acesse a página Atestadores da autorização binária.

    2. Clique em Adicionar atestadores.

    3. Selecione uma das seguintes opções:

      • Adicionar por projeto e nome de atestador

        O projeto refere-se ao ID do projeto que armazena seus atestadores. Um exemplo de nome de atestador é build-qa.

      • Adicionar por código de recurso do atestador

        Um ID de recurso tem este formato:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME
        
    4. Em Atestadores, insira o(s) valore(s) apropriado(s) para a opção selecionada.

    5. Clique em Adicionar outro atestador se você quiser adicionar outros atestadores.

    6. Clique em Adicionar atestadores para salvar a regra.

  8. Clique em Modo de teste para ativar o modo de teste.

  9. Clique em Adicionar para salvar a regra específica.

  10. Clique em Save Policy.

Gerenciar imagens isentas

Esta seção se aplica ao GKE, aos clusters do Anthos no VMware, Cloud Run e ao Anthos Service Mesh.

Uma imagem isenta é uma imagem especificada por um caminho, isenta de regras de política. A autorização binária sempre permite a implantação de imagens isentas.

Esse caminho pode ser um local no Container Registry ou em outro registro de imagem de contêiner.

Cloud Run

Esta seção se aplica ao Cloud Run.

O nome da imagem precisa estar no formato IMAGE_PATH@*—, por exemplo, us-docker.pkg.dev/cloudrun/container/hello@*.

O nome da imagem não pode conter tag. Para formatar um nome de imagem que isenta os nomes de imagem que contêm tags, use * como caractere curinga.

Os nomes de caminho podem especificar um resumo.

Ativar a política do sistema

Esta seção se aplica ao GKE e aos clusters do Anthos no VMware.

Confiar em todas as imagens do sistema mantidas pelo Google é uma configuração de política que ativa a política do sistema de autorização binária. Quando essa configuração está ativada no momento da implantação, a autorização binária isenta uma lista de imagens do sistema mantidas pelo Google que são exigidas pelo GKE de outras avaliações de política. A política do sistema é avaliada antes de qualquer uma das outras configurações de política.

Para ativar a política do sistema, faça o seguinte:

  1. Acesse a página Autorização binária no Console do Cloud.

    Acesse Autorização binária

  2. Clique em Editar política.

  3. Selecione Confiar em todas as imagens do sistema fornecidas pelo Google na seção Imagens isentas de regras de implantação.

    Para ver as imagens isentas pela política do sistema, clique em Ver Detalhes.

  4. Para especificar manualmente imagens isentas adicionais, expanda a seção Caminhos de imagens.

    Em seguida, clique em Adicionar caminho da imagem e insira o caminho do registro para qualquer imagem adicional que você queira isentar.

  5. Clique em Save Policy.

A seguir