Configurare un criterio utilizzando l'API REST

Questa pagina fornisce istruzioni per configurare un criterio di autorizzazione binaria utilizzando l'API REST. In alternativa, puoi eseguire queste attività anche utilizzando Google Cloud CLI o la console Google Cloud. Questo passaggio fa parte della configurazione di Autorizzazione binaria.

Panoramica

Un criterio è un insieme di regole che regolano il deployment di una o più immagini container.

Quando configuri un criterio utilizzando l'API REST, i valori vengono inseriti in un file JSON la cui struttura è identica alla struttura YAML utilizzata in gcloud interazioni con il servizio. Per ulteriori informazioni, consulta Riferimento YAML per i criteri.

Per configurare un criterio è necessario:

• Esporta un file JSON dei criteri
• Aggiungi altre immagini esenti (facoltativo)
• Impostare la regola predefinita
• Aggiungi eventuali regole specifiche per il cluster (facoltativo)
• Importa il file JSON dei criteri

La maggior parte dei criteri reali controlla se tutti gli attestatori richiesti hanno verificato che un'immagine container è pronta per il deployment. In questo caso, devi anche creare attestatori durante la configurazione del criterio.

Imposta il progetto predefinito

Imposta il progetto Google Cloud predefinito se non lo hai già fatto:

PROJECT_ID=PROJECT_ID
gcloud config set project ${PROJECT_ID}

dove PROJECT_ID è l'ID del tuo progetto.

Esportare il criterio

Questa sezione riguarda GKE, Distributed Cloud, Cloud Run e Cloud Service Mesh.

Esporta il criterio in un file JSON sul tuo sistema locale:

curl \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "x-goog-user-project: ${PROJECT_ID}" \
    "https://binaryauthorization.googleapis.com/v1/projects/${PROJECT_ID}/policy" \
    -o "/tmp/policy.json"

Per impostazione predefinita, il file ha i seguenti contenuti:

{
  "name": "projects/PROJECT_ID/policy",
  "globalPolicyEvaluationMode": "ENABLE",
  "defaultAdmissionRule": {
    "evaluationMode": "ALWAYS_ALLOW",
    "enforcementMode": "ENFORCED_BLOCK_AND_AUDIT_LOG"
  }
}

Gestisci immagini esenti

Questa sezione si applica a GKE, Distributed Cloud, Cloud Run e Cloud Service Mesh.

Un'immagine esente è un'immagine container esente dalle regole dei criteri. Autorizzazione binaria consente sempre immagini esenti di cui eseguire il deployment.

Specifica le immagini esenti elencando i relativi percorsi del registry in admissionWhitelistPatterns. Il percorso può fare riferimento a Container Registry o a un altro registry di immagini. L'agente di applicazione elabora le immagini esenti in admissionWhitelistPatterns dopo le immagini esenti dalla modalità di valutazione delle norme di sistema.

Per aggiungere un'immagine esente, aggiungi un nodo namePattern in un admissionWhitelistPatterns nel file JSON del criterio:

{
  "name": "projects/PROJECT_ID/policy",
  "admissionWhitelistPatterns": [
    {
      "namePattern": "MATCHING_PATTERN"
    }
  ],
  ...
}

dove MATCHING_PATTERN è il percorso di una singola immagine nel registro per corrispondenza esatta o qualsiasi immagine corrispondente a un pattern utilizzando il carattere jolly (*, **).

Cloud Run

Questa sezione riguarda Cloud Run.

Non puoi specificare direttamente i nomi delle immagini che contengono un tag. Ad esempio, non puoi specificareIMAGE_PATH:latest.

Se vuoi specificare nomi di immagini contenenti tag, devi specificare il nome dell'immagine utilizzando un carattere jolly come segue:

• * per tutte le versioni di una singola immagine; ad esempio us-docker.pkg.dev/myproject/container/hello@*
• ** per tutte le immagini in un progetto; ad esempio us-docker.pkg.dev/myproject/**

Puoi utilizzare i nomi dei percorsi per specificare un digest nel formato IMAGE_PATH@DIGEST.

Modalità di valutazione dei criteri di sistema

Questa sezione si applica a GKE e Distributed Cloud.

La modalità di valutazione dei criteri di sistema è un'impostazione dei criteri che consente ad Autorizzazione binaria di valutare un criterio di sistema prima di valutare il criterio configurato. Google gestisce il criterio di sistema, che esenta un elenco di immagini di sistema gestite da Google utilizzate da GKE. Le immagini elencate nel criterio di sistema non sono è bloccata dall'applicazione forzata dei criteri. Se non attivi l'impostazione, devi gestire l'elenco delle immagini esenti. Scopri come gestire le immagini esenti.

Puoi visualizzare i contenuti del criterio di sistema utilizzando il seguente comando:

gcloud alpha container binauthz policy export-system-policy

Per attivare la modalità di valutazione dei criteri di sistema, aggiungi il seguente nodo di primo livello al file JSON dei criteri:

"globalPolicyEvaluationMode": "ENABLE"

Per disabilitare la modalità di valutazione dei criteri di sistema, aggiungi quanto segue:

"globalPolicyEvaluationMode": "DISABLE"

Puoi esportare il criterio di sistema associato a una regione specifica come segue:

gcloud alpha container binauthz policy export-system-policy \
  --location=REGION > /tmp/policy.yaml

Sostituisci REGION con la regione associata al criterio di sistema che vuoi esportare (o "globale"). Esempi: asia-east1, europe-west1, us-central1.

Se ometti --location o specifichi --location=global, il comando genera un criterio di sistema da una regione nell'ultimo gruppo di regioni che riceve gli aggiornamenti. Poiché la maggior parte delle modifiche ai criteri di sistema sono aggiunte, l'output mostra l'insieme di immagini di sistema attualmente consentite in tutte le regioni.

Impostare la regola predefinita

Questa sezione riguarda GKE, Distributed Cloud, Cloud Run e Cloud Service Mesh.

Una regola è la parte di un criterio che definisce i vincoli che le immagini container devono soddisfare prima di poter essere implementate. Ogni richiesta di ammissione ha un cluster GKE associato. Se una richiesta non corrisponde a una regola specifica per il cluster, viene utilizzata la regola predefinita.

La regola predefinita è definita nel defaultAdmissionRule nodo in il criterio. Per ulteriori informazioni sugli elementi di questa regola, consulta ADMISSION_RULE nel file YAML dei criteri Riferimento. Per esempi di regole predefinite, consulta Esempi di norme.

Per impostare la regola predefinita, modifica il nodo defaultAdmissionRule nel criterio JSON come richiesto:

  "defaultAdmissionRule": {
    "evaluationMode": "EVAL_MODE",
    "enforcementMode": "ENFORCEMENT_MODE"
    requireAttestationsBy: [
      ATTESTOR,
      ...
    ]
  }

dove:

• EVAL_MODE specifica il tipo di vincolo valutato da Autorizzazione di codice prima di consentire il deployment di un'immagine contenitore.
• ENFORCEMENT_MODE specifica l'azione intrapresa se un'immagine del container non è conforme ai limiti definiti nella regola.
• ATTESTOR specifica gli attestatori (se richiesti) che devono firmare un'immagine container prima che possa essere eseguita il deployment. Utilizza il percorso completo dell'attestatore nel formatoprojects/PROJECT_ID/attestors/ATTESTOR_NAME.

Se la regola verifica se tutti gli attestatori richiesti hanno firmato un'immagine contenitore, devi creare gli attestatori prima di completare questo passaggio.

Imposta regole specifiche per il cluster (facoltative)

Questa sezione si applica a GKE e Distributed Cloud.

Un cluster può anche avere una o più regole specifiche per il cluster. Questo tipo di si applica solo al cluster GKE specificato. Se un cluster non ha una regola propria, viene utilizzata la regola predefinita. Le regole specifiche per il cluster sono una parte facoltativa di un criterio.

Le regole specifiche per il cluster sono definite nei nodi clusterAdmissionRules nel file JSON del criterio. Per ulteriori informazioni sugli elementi di questa regola, consulta ADMISSION_RULE nel file YAML dei criteri Riferimento. Per un esempio, consulta Utilizzare una regola specifica per il cluster in Criteri di esempio.

Per aggiungere una regola specifica per il cluster:

Nel file JSON dei criteri, aggiungi un nodo clusterAdmissionRules:

"clusterAdmissionRules": {
    "us-central1-a.test-cluster": {
      "evaluationMode": "REQUIRE_ATTESTATION",
      "requireAttestationsBy": [
        "ATTESTOR",
        ...
      ],
      "enforcementMode": "ENFORCED_BLOCK_AND_AUDIT_LOG"
    }
  },

dove CLUSTER_SPECIFIER è l'ID risorsa del cluster in cui la regola sia applicata.

• Per GKE, i cluster collegati a GKE e GKE su AWS, il formato è CLUSTER_LOCATION.CLUSTER_NAME, ad esempio us-central1-a.test-cluster.
• Per Google Distributed Cloud e Google Distributed Cloud, il formato è FLEET_MEMBERSHIP_LOCATION.FLEET_MEMBERSHIP_ID, per ad esempio global.test-membership.

Le altre proprietà sono descritte in Impostare la regola predefinita , in precedenza in questa guida. Consulta: Esempi di norme per un esempio di una regola specifica per il cluster.

Se la regola verifica se tutti gli attestatori richiesti hanno firmato un'immagine contenitore, devi creare gli attestatori prima di completare questo passaggio.

Importa il file JSON dei criteri

Questa sezione riguarda GKE, Distributed Cloud, Cloud Run e Cloud Service Mesh.

Importa di nuovo il file JSON dei criteri in Autorizzazione di codice inserendo quanto segue:

curl -X PUT \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "x-goog-user-project: ${PROJECT_ID}" \
    --data-binary @/tmp/policy.json  \
    "https://binaryauthorization.googleapis.com/v1/projects/${PROJECT_ID}/policy"

Passaggi successivi

• Creare un attestatore
• Creare una certificazione
• Esegui il deployment di un'immagine container