gcloud CLI를 사용하여 증명자 만들기

이 페이지에서는 Google Cloud CLI를 사용하여 Binary Authorization의 증명자를 만드는 방법을 설명합니다. 또는 Google Cloud 콘솔 또는 REST API를 사용하여 이 단계를 수행할 수 있습니다. 이 태스크는 Binary Authorization 설정의 일부입니다.

Cloud Build 사용자: 대신 built-by-cloud-build 증명자를 사용하여 Cloud Build에서 빌드한 이미지만 배포할 수 있습니다.

증명자는 Binary Authorization에서 증명을 확인하는 데 사용하는 Google Cloud 리소스입니다. 증명에 대한 자세한 내용은 Binary Authorization 개요를 참조하세요.

증명자를 만들려면 다음 안내를 따르세요.

  • Artifact Analysis에서 메모를 만들어 증명 프로세스에 사용된 신뢰할 수 있는 메타데이터를 저장합니다.
  • 증명자의 ID를 확인하는 데 사용할 수 있는 PKIX 키 쌍을 설정합니다. Cloud Key Management Service(Cloud KMS)에서 생성된 비대칭 키 쌍은 PKIX와 호환되는 형식입니다.
  • Binary Authorization에서 증명자를 만들고 메모와 생성한 공개 키를 연결합니다.

단일 프로젝트 설정 시 Binary Authorization 정책을 구성한 것과 동일한 Google Cloud 프로젝트에 증명자를 만듭니다. 이러한 단계를 포함하는 엔드 투 엔드 단일 프로젝트 튜토리얼은 다음을 참조하세요.Google Cloud CLI 사용 시작하기 또는Google Cloud 콘솔 사용 시작하기를 참조하세요.

다중 프로젝트 설정에서는 정책이 구성된 배포자 프로젝트, 증명자가 저장되는 증명자 프로젝트, 증명을 위한 증명 프로젝트 등 별도의 프로젝트를 두는 것이 좋습니다. 이러한 단계를 포함하는 엔드 투 엔드 다중 프로젝트 튜토리얼은 다중 프로젝트 설정을 참조하세요.

시작하기 전에

증명자를 만들기 전에 다음을 수행합니다.

  1. Binary Authorization 사용 설정

  2. 플랫폼에 Binary Authorization 설정

프로젝트 환경 설정

이 섹션에서는 환경 변수를 설정합니다.

프로젝트 이름과 버전을 저장할 환경 변수를 설정합니다. 증명자 프로젝트와 배포자 프로젝트가 동일한 프로젝트인 경우 두 변수에 동일한 프로젝트 ID를 사용합니다.

DEPLOYER_PROJECT_ID=DEPLOYER_PROJECT_ID=
DEPLOYER_PROJECT_NUMBER="$(
    gcloud projects describe "${DEPLOYER_PROJECT_ID}" \
      --format="value(projectNumber)"
)"

ATTESTOR_PROJECT_ID=ATTESTOR_PROJECT_ID
ATTESTOR_PROJECT_NUMBER="$(
    gcloud projects describe "${ATTESTOR_PROJECT_ID}" \
    --format="value(projectNumber)"
)"

프로젝트의 서비스 계정 이름도 가져와야 합니다.

DEPLOYER_SERVICE_ACCOUNT="service-${DEPLOYER_PROJECT_NUMBER}@gcp-sa-binaryauthorization.iam.gserviceaccount.com"
ATTESTOR_SERVICE_ACCOUNT="service-${ATTESTOR_PROJECT_NUMBER}@gcp-sa-binaryauthorization.iam.gserviceaccount.com"

Artifact Analysis 메모 만들기

Binary Authorization은 Artifact Analysis를 사용하여 승인 프로세스에 사용된 신뢰할 수 있는 메타데이터를 저장합니다. 생성된 증명자마다 Artifact Analysis 메모를 하나씩 만들어야 합니다. 각 증명은 이 메모의 어커런스로 저장됩니다.

메노를 만들려면 다음 단계를 따르세요.

  1. 메모 ID와 사람이 읽을 수 있는 설명을 저장할 환경 변수를 설정합니다.

    NOTE_ID=NOTE_ID
    NOTE_URI="projects/${ATTESTOR_PROJECT_ID}/notes/${NOTE_ID}"
    DESCRIPTION=DESCRIPTION
    

    다음을 바꿉니다.

    • NOTE_ID: 공백 없이 영숫자 문자로 구성된 메모의 이름(예: test-attestor-note)
    • NOTE_URI: 메모 리소스의 정규화된 경로
    • DESCRIPTION: 사람이 읽을 수 있는 메모의 표시 이름(예: Test Attestor Note)
  2. 텍스트 편집기에서 메모를 설명하는 JSON 파일을 만드세요.

    cat > /tmp/note_payload.json << EOM
    {
      "name": "${NOTE_URI}",
      "attestation": {
        "hint": {
          "human_readable_name": "${DESCRIPTION}"
        }
      }
    }
    EOM
    
  3. Artifact Analysis REST API에 HTTP 요청을 보내 메모를 만듭니다.

    curl -X POST \
        -H "Content-Type: application/json" \
        -H "Authorization: Bearer $(gcloud auth print-access-token)"  \
        -H "x-goog-user-project: ${ATTESTOR_PROJECT_ID}" \
        --data-binary @/tmp/note_payload.json  \
        "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/?noteId=${NOTE_ID}"
    

    메모가 성공적으로 생성되었는지 확인하려면 다음 명령어를 실행합니다.

    curl \
        -H "Authorization: Bearer $(gcloud auth print-access-token)"  \
        -H "x-goog-user-project: ${ATTESTOR_PROJECT_ID}" \
        "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/"
    

메모에 IAM 권한 설정

Artifact Analysis 메모 리소스에서 증명자 프로젝트 서비스 계정에 Identity and Access Management(IAM) 역할을 부여해야 합니다. 이를 위해서는 메모의 IAM 정책에서 containeranalysis.notes.occurrences.viewer 역할에 증명자 프로젝트 서비스 계정을 추가하면 됩니다.

역할을 추가하려면 다음 단계를 따르세요.

  1. 메모에 IAM 역할을 설정하는 데 필요한 정보가 포함된 JSON 파일을 생성합니다.

    cat > /tmp/iam_request.json << EOM
    {
      "resource": "${NOTE_URI}",
      "policy": {
        "bindings": [
          {
            "role": "roles/containeranalysis.notes.occurrences.viewer",
            "members": [
              "serviceAccount:${ATTESTOR_SERVICE_ACCOUNT}"
            ]
          }
        ]
      }
    }
    EOM
    
  2. 서비스 계정 및 요청된 액세스 역할을 생성된 메모의 IAM 정책에 추가합니다.

    curl -X POST  \
        -H "Content-Type: application/json" \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "x-goog-user-project: ${ATTESTOR_PROJECT_ID}" \
        --data-binary @/tmp/iam_request.json \
        "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/${NOTE_ID}:setIamPolicy"
    

다중 프로젝트 사용

한 프로젝트에 증명자를 저장하고 별도의 프로젝트에 배포하는 경우 증명자의 배포자 프로젝트와 연결된 서비스 계정에 roles/binaryauthorization.attestorsVerifier 역할을 부여해야 합니다.

암호화 키 설정

Binary Authorization에서는 PKIX 키를 사용하여 attestations을 확인할 수 있습니다.

키 쌍 생성

이 가이드에서는 PKIX 키 쌍을 생성하는 데 타원 곡선 디지털 서명 알고리즘(ECDSA) 사용이 권장됩니다. RSA 또는 PGP 키 쌍을 사용할 수도 있습니다. 서명 알고리즘에 대한 자세한 내용은 키 용도 및 알고리즘을 참조하세요.

PKIX 키 쌍서명자가 증명을 서명하는 데 사용하는 비공개 키와 증명자에 추가하는 공개 키로 구성됩니다. Binary Authorization은 배포 시에 이 공개 키를 사용하여 증명을 확인합니다.

PKIX(Cloud KMS)

Cloud KMS에서 키 쌍을 만들려면 다음 안내를 따르세요.

  1. 키 쌍을 만드는 데 필요한 환경 변수를 설정하려면 다음 명령어를 실행합니다.

    KMS_KEY_PROJECT_ID=KMS_KEY_PROJECT_ID
    KMS_KEY_LOCATION=KMS_KEY_LOCATION
    KMS_KEYRING_NAME=KMS_KEYRING_NAME
    KMS_KEY_NAME=KMS_KEY_NAME
    KMS_KEY_VERSION=KMS_KEY_VERSION
    KMS_KEY_PURPOSE=asymmetric-signing
    KMS_KEY_ALGORITHM=KMS_KEY_ALGORITHM
    KMS_PROTECTION_LEVEL=KMS_PROTECTION_LEVEL
    

    다음을 바꿉니다.

    • KMS_KEY_PROJECT_ID: 키가 저장된 프로젝트의 ID
    • KMS_KEY_LOCATION: 키의 위치
    • KMS_KEYRING_NAME: 키링의 이름
    • KMS_KEY_NAME: 키의 이름
    • KMS_KEY_VERSION: 키 버전
    • KMS_KEY_ALGORITHM: 알고리즘. ec-sign-p256-sha256을 사용하는 것이 좋습니다.
    • KMS_PROTECTION_LEVEL: 보호 수준(예: software)
  2. 키링을 만들려면 다음 명령어를 실행합니다.

    gcloud kms keyrings create ${KMS_KEYRING_NAME} \
        --location ${KMS_KEY_LOCATION}
    
  3. 키를 만들려면 다음 명령어를 실행합니다.

    gcloud kms keys create ${KMS_KEY_NAME} \
        --location ${KMS_KEY_LOCATION} \
        --keyring ${KMS_KEYRING_NAME}  \
        --purpose ${KMS_KEY_PURPOSE} \
        --default-algorithm ${KMS_KEY_ALGORITHM} \
        --protection-level ${KMS_PROTECTION_LEVEL}
    

    다음을 바꿉니다.

    • KMS_KEY_NAME: 키의 이름
    • KMS_KEY_LOCATION: 키의 위치
    • KMS_KEYRING_NAME: 키링의 이름
    • KMS_KEY_PURPOSE: 키의 용도. ASYMMETRIC_SIGN으로 설정합니다.
    • KMS_KEY_ALGORITHM: 알고리즘. ec-sign-p256-sha256을 사용하는 것이 좋습니다.
    • KMS_PROTECTION_LEVEL: 보호 수준(예: software)

PKIX(로컬 키)

새로운 로컬 비대칭 PKIX 키 쌍을 생성하고 이를 파일로 저장하려면 다음을 수행합니다.

  1. 비공개 키를 생성합니다.

    PRIVATE_KEY_FILE은 증명 페이로드를 서명하는 데 사용된 비공개 키를 포함하는 파일의 이름입니다.

    PRIVATE_KEY_FILE="/tmp/ec_private.pem"
    openssl ecparam -genkey -name prime256v1 -noout -out ${PRIVATE_KEY_FILE}
    
  2. 비공개 키에서 공개 키를 추출하여 파일에 저장합니다.

    PUBLIC_KEY_FILE은 증명자에 저장된 공개 키를 포함한 파일의 이름입니다.

    PUBLIC_KEY_FILE="/tmp/ec_public.pem"
    openssl ec -in ${PRIVATE_KEY_FILE} -pubout -out ${PUBLIC_KEY_FILE}
    

증명자 만들기

증명자를 만들려면 다음 단계를 따르세요.

  1. Binary Authorization에 정의된 대로 증명자의 이름을 저장할 환경 변수를 설정합니다.

    ATTESTOR_NAME=ATTESTOR_NAME
    

    여기서 ATTESTOR_NAME은 만들려는 증명자의 이름입니다(예: build-secure 또는 prod-qa).

  2. Binary Authorization에서 증명자 리소스를 만듭니다.

    gcloud --project="${ATTESTOR_PROJECT_ID}" \
        container binauthz attestors create "${ATTESTOR_NAME}" \
        --attestation-authority-note="${NOTE_ID}" \
        --attestation-authority-note-project="${ATTESTOR_PROJECT_ID}"
    
  3. 증명자에 배포자 프로젝트의 IAM 역할 바인딩을 추가합니다. 이는 Binary Authorization에서 프로젝트에 연결된 증명에 액세스할 수 있는 권한이 있는지 확인하기 위해 정책을 평가할 때 사용됩니다.

    gcloud container binauthz attestors add-iam-policy-binding \
        "projects/${ATTESTOR_PROJECT_ID}/attestors/${ATTESTOR_NAME}" \
        --member="serviceAccount:${DEPLOYER_SERVICE_ACCOUNT}" \
        --role=roles/binaryauthorization.attestorsVerifier
    
  4. 공개 키를 증명자에 추가하려면 다음을 수행합니다.

    PKIX(Cloud KMS)

    Cloud KMS 키 쌍의 공개 키를 증명자에 추가하려면 다음 명령어를 실행합니다.

    gcloud --project="${ATTESTOR_PROJECT_ID}" \
        container binauthz attestors public-keys add \
        --attestor="${ATTESTOR_NAME}" \
        --keyversion-project="${KMS_KEY_PROJECT_ID}" \
        --keyversion-location="${KMS_KEY_LOCATION}" \
        --keyversion-keyring="${KMS_KEYRING_NAME}" \
        --keyversion-key="${KMS_KEY_NAME}" \
        --keyversion="${KMS_KEY_VERSION}"
    

    PKIX(로컬 키)

    로컬에 저장된 PKIX 공개 키를 증명자에 추가하려면 다음 명령어를 실행합니다.

    gcloud --project="${ATTESTOR_PROJECT_ID}" \
        container binauthz attestors public-keys add \
        --attestor="${ATTESTOR_NAME}" \
        --pkix-public-key-file=${PUBLIC_KEY_FILE} \
        --pkix-public-key-algorithm=ecdsa-p256-sha256
    

    공개 키를 증명자에 추가하되 키 ID(임의의 문자열)를 지정하지 않으면 RFC 6920 형식(ni:///sha-256;...)으로 키 ID가 자동으로 부여됩니다. 여기서 ...은 공개 키의 인코딩된 해시입니다. 이 값은 명령어 결과의 id 필드에 반환됩니다. 반환된 ID는 PUBLIC_KEY_ID에 저장되며 증명을 만드는 데 사용할 수 있습니다.

공개 키 ID를 저장합니다.

증명을 만들려면 공개 키 ID가 필요합니다.

공개 키 ID를 저장하려면 위 binauthz attestors public-keys add 명령어 결과에서 ID를 복사합니다.

또는 다음 명령어를 사용하여 언제든지 증명자의 공개 키 ID를 볼 수 있습니다.

gcloud container binauthz attestors describe ${ATTESTOR}.

공개 키 ID를 환경 변수에 저장하려면 다음 명령어를 입력합니다.

PUBLIC_KEY_ID=$(gcloud container binauthz attestors describe ${ATTESTOR_NAME} \
--format='value(userOwnedGrafeasNote.publicKeys[0].id)')

증명자가 생성되었는지 확인

증명자가 생성되었는지 확인하려면 다음 명령어를 실행합니다.

gcloud container binauthz attestors list \
    --project="${ATTESTOR_PROJECT_ID}"

다음 단계