CLI를 사용하여 증명자 만들기

이 페이지에서는 명령줄에서 gcloud 명령어를 사용하여 Binary Authorization의 증명자를 만드는 방법을 설명합니다. 또는 Google Cloud Console이나 REST API를 사용하여 이 단계를 수행해도 됩니다. 이 작업은 Binary Authorization 설정의 일부입니다.

개요

증명자는 Binary Authorization에서 증명을 확인하는 데 사용하는 GCP 리소스입니다. 증명에 대한 자세한 내용은 Binary Authorization 개요를 참조하세요.

증명자를 만들려면 다음을 수행해야 합니다.

  • 컨테이너 분석에서 메모를 만들어 증명 프로세스에 사용된 신뢰할 수 있는 메타데이터를 저장합니다.
  • 증명자의 ID를 확인하는 데 사용할 수 있는 PKIX 키 쌍을 설정합니다. Cloud Key Management Service(Cloud KMS)에서 생성된 비대칭 키 쌍은 PKIX와 호환되는 형식입니다.
  • Binary Authorization에서 증명자를 만들고 메모와 생성한 공개 키를 연결합니다.

단일 프로젝트 설정 시 Binary Authorization 정책을 구성한 것과 동일한 Google Cloud 프로젝트에 증명자를 만듭니다. 다중 프로젝트 설정에는 정책이 구성된 배포자 프로젝트와 증명자가 저장된 증명자 프로젝트가 있을 가능성이 높습니다.

기본 프로젝트 설정

아직 기본 Google Cloud 프로젝트를 설정하지 않은 경우 설정합니다.

PROJECT_ID=PROJECT_ID
gcloud config set project ${PROJECT_ID}

환경 설정

프로젝트 이름과 버전을 저장할 환경 변수를 설정합니다.

DEPLOYER_PROJECT_ID=${PROJECT_ID}
DEPLOYER_PROJECT_NUMBER="$(
    gcloud projects describe "${DEPLOYER_PROJECT_ID}" \
      --format="value(projectNumber)"
)"
ATTESTOR_PROJECT_ID=${PROJECT_ID}
ATTESTOR_PROJECT_NUMBER="$(
    gcloud projects describe "${ATTESTOR_PROJECT_ID}" \
    --format="value(projectNumber)"
)"

증명자 프로젝트와 배포자 프로젝트가 동일한 프로젝트인 경우 두 변수에 동일한 프로젝트 ID를 사용합니다.

프로젝트의 서비스 계정 이름도 가져와야 합니다.

DEPLOYER_SERVICE_ACCOUNT="service-${DEPLOYER_PROJECT_NUMBER}@gcp-sa-binaryauthorization.iam.gserviceaccount.com"
ATTESTOR_SERVICE_ACCOUNT="service-${ATTESTOR_PROJECT_NUMBER}@gcp-sa-binaryauthorization.iam.gserviceaccount.com"

컨테이너 분석 메모 만들기

Binary Authorization은 컨테이너 분석을 사용하여 승인 프로세스에 사용된 신뢰할 수 있는 메타데이터를 저장합니다. 생성된 증명자마다 컨테이너 분석 메모를 하나씩 만들어야 합니다. 각 증명은 이 메모의 어커런스로 저장됩니다.

컨테이너 분석 메모를 만들려면 다음 안내를 따르세요.

  1. 메모 ID와 사람이 읽을 수 있는 설명을 저장할 환경 변수를 설정합니다.

    NOTE_ID=NOTE_ID
    NOTE_URI="projects/${ATTESTOR_PROJECT_ID}/notes/${NOTE_ID}"
    DESCRIPTION=DESCRIPTION
    

    각 항목의 의미는 다음과 같습니다.

    • NOTE_ID는 공백 없이 영숫자 문자로 구성된 메모의 이름입니다(예: test-attestor-note).
    • NOTE_URI는 메모 리소스의 정규화된 경로입니다.
    • DESCRIPTION은 사람이 읽을 수 있는 메모의 표시 이름입니다(예: Test Attestor Note).
  2. 텍스트 편집기를 사용하여 /tmp/note_payload.json에 컨테이너 분석 메모를 설명하는 JSON 파일을 만듭니다.

    cat > /tmp/note_payload.json << EOM
    {
      "name": "${NOTE_URI}",
      "attestation": {
        "hint": {
          "human_readable_name": "${DESCRIPTION}"
        }
      }
    }
    EOM
    
  3. Container Analysis REST API에 HTTP 요청을 보내 메모를 만듭니다.

    curl -X POST \
        -H "Content-Type: application/json" \
        -H "Authorization: Bearer $(gcloud auth print-access-token)"  \
        -H "x-goog-user-project: ${ATTESTOR_PROJECT_ID}" \
        --data-binary @/tmp/note_payload.json  \
        "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/?noteId=${NOTE_ID}"
    

    메모가 성공적으로 생성되었는지 확인하려면 다음을 실행하세요.

    curl \
        -H "Authorization: Bearer $(gcloud auth print-access-token)"  \
        -H "x-goog-user-project: ${ATTESTOR_PROJECT_ID}" \
        "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/"
    

메모에 권한 설정

또한 만든 컨테이너 분석 메모에 권한을 설정해야 합니다. 그래야 증명자 프로젝트 서비스 계정에 액세스할 수 있습니다. 이를 위해 메모의 IAM 정책을 업데이트하여 계정에 containeranalysis.notes.occurrences.viewer 역할을 할당합니다.

권한을 설정하려면 다음 안내를 따르세요.

  1. 메모에 IAM 정책을 설정하는 데 필요한 정보가 포함된 JSON 파일을 생성합니다.

    cat > /tmp/iam_request.json << EOM
    {
      "resource": "${NOTE_URI}",
      "policy": {
        "bindings": [
          {
            "role": "roles/containeranalysis.notes.occurrences.viewer",
            "members": [
              "serviceAccount:${ATTESTOR_SERVICE_ACCOUNT}"
            ]
          }
        ]
      }
    }
    EOM
    
  2. 서비스 계정 및 요청된 액세스 역할을 생성된 메모의 IAM 정책에 추가합니다.

    curl -X POST  \
        -H "Content-Type: application/json" \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "x-goog-user-project: ${ATTESTOR_PROJECT_ID}" \
        --data-binary @/tmp/iam_request.json \
        "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/${NOTE_ID}:setIamPolicy"
    

암호화 키 설정

Binary Authorization에서는 PKIX 키를 사용하여 증명을 만든 서명자의 ID를 안전하게 확인할 수 있습니다. 이렇게 하면 확인된 당사자만 컨테이너 이미지를 승인할 수 있습니다. PKIX 대신 PGP 키를 사용해도 됩니다.

키 쌍 생성

이 가이드에서는 PKIX 키 쌍을 생성하는 데 타원 곡선 디지털 서명 알고리즘(ECDSA) 사용이 권장됩니다. 서명에 RSA 또는 PGP 키를 사용할 수도 있습니다. 서명 알고리즘에 대한 자세한 내용은 키 용도 및 알고리즘을 참조하세요.

PKIX 키 쌍서명자가 증명을 디지털 서명하는 데 사용하는 비공개 키와 증명자에 추가하는 공개 키로 구성됩니다. Binary Authorization은 배포 시에 이 공개 키를 사용하여 비공개 키로 서명된 증명을 확인합니다.

로컬 비대칭 PKIX 키 쌍을 새로 생성하여 파일에 저장하려면 다음 안내를 따르세요.

  1. 비공개 키를 생성합니다.

    PRIVATE_KEY_FILE은 증명 페이로드를 서명하는 데 사용된 비공개 키를 포함하는 파일의 이름입니다.

    PRIVATE_KEY_FILE="/tmp/ec_private.pem"
    openssl ecparam -genkey -name prime256v1 -noout -out ${PRIVATE_KEY_FILE}
    
  2. 비공개 키에서 공개 키를 추출하여 파일에 저장합니다.

    PUBLIC_KEY_FILE은 증명자에 저장되는 공개 키를 포함한 파일의 이름입니다.

    PUBLIC_KEY_FILE="/tmp/ec_public.pem"
    openssl ec -in ${PRIVATE_KEY_FILE} -pubout -out ${PUBLIC_KEY_FILE}
    

Cloud KMS에서 생성되고 저장된 비대칭 키 쌍은 PKIX와 호환되는 형식입니다. Binary Authorization에서 사용할 Cloud KMS 키를 만들려면 비대칭 키 만들기를 참조하세요. 키를 만들 때 키 용도로 비대칭 서명을 선택해야 합니다.

증명자 만들기

다음 단계는 Binary Authorization에서 컨테이너 분석 메모가 연결된 증명자를 만드는 것입니다. 암호화 공개 키도 추가해야 합니다.

증명자를 만들려면 다음 단계를 따르세요.

  1. Binary Authorization에 정의된 대로 증명자의 이름을 저장할 환경 변수를 설정합니다.

    ATTESTOR_NAME=ATTESTOR_NAME
    

    여기서 ATTESTOR_NAME은 만들려는 증명자의 이름입니다(예: build-secure 또는 prod-qa).

  2. Binary Authorization에서 증명자 리소스를 만듭니다.

    gcloud --project="${ATTESTOR_PROJECT_ID}" \
        beta container binauthz attestors create "${ATTESTOR_NAME}" \
        --attestation-authority-note="${NOTE_ID}" \
        --attestation-authority-note-project="${ATTESTOR_PROJECT_ID}"
    
  3. 증명자에 배포자 프로젝트의 IAM 역할 binding을 추가합니다. 이는 Binary Authorization에서 프로젝트에 연결된 증명에 액세스할 수 있는 권한이 있는지 확인하기 위해 정책을 평가할 때 사용됩니다.

    gcloud beta container binauthz attestors add-iam-policy-binding \
      "projects/${ATTESTOR_PROJECT_ID}/attestors/${ATTESTOR_NAME}" \
      --member="serviceAccount:${DEPLOYER_SERVICE_ACCOUNT}" \
      --role=roles/binaryauthorization.attestorsVerifier
    
  4. 공개 키를 증명자에 추가합니다.

    PKIX(로컬 키)

    1. 로컬에 저장된 PKIX 공개 키를 증명자에 추가합니다.

      이제 Binary Authorization에서 ID 확인에 사용할 수 있도록 내보낸 공개 키를 증명자에 추가합니다.

      gcloud --project="${ATTESTOR_PROJECT_ID}" \
         beta container binauthz attestors public-keys add \
         --attestor="${ATTESTOR_NAME}" \
         --pkix-public-key-file=${PUBLIC_KEY_FILE} \
         --pkix-public-key-algorithm=ecdsa-p256-sha256
      

      참고: 공개 키를 증명자에 추가하되 키 ID(임의의 문자열)를 지정하지 않으면 RFC 6920 형식(ni:///sha-256;...)으로 키 ID가 자동으로 부여됩니다. 여기서 ...은 공개 키의 인코딩된 해시입니다. 이 값은 명령어 결과의 id 필드에 반환됩니다. 반환된 ID는 PUBLIC_KEY_ID에 저장되며 증명을 만드는 데 사용할 수 있습니다.

    2. 공개 키 ID를 저장합니다.

      증명을 만드는 경우 공개 키 ID가 필요합니다. 공개 키 ID를 저장하려면 위 binauthz attestors public-keys add 명령어 결과에서 ID를 저장합니다.

      또는 gcloud container binauthz attestors describe ${ATTESTOR} 명령어를 사용하여 언제든지 증명자의 공개 키 ID를 볼 수 있습니다.

      공개 키 ID를 환경 변수에 저장하려면 다음 명령어를 입력하세요.

       PUBLIC_KEY_ID=$(gcloud container binauthz attestors describe ${ATTESTOR_NAME} \
       --format='value(userOwnedGrafeasNote.publicKeys[0].id)')
      

    PKIX(Cloud KMS)

    1. Cloud KMS에서 관리하는 키 쌍에 대한 정보를 저장하도록 환경 변수를 설정합니다.

      KMS_KEY_PROJECT_ID=KMS_KEY_PROJECT_ID
      KMS_KEY_LOCATION=KMS_KEY_LOCATION
      KMS_KEYRING_NAME=KMS_KEYRING_NAME
      KMS_KEY_NAME=KMS_KEY_NAME
      KMS_KEY_VERSION=KMS_KEY_VERSION
      

      각 항목의 의미는 다음과 같습니다.

      • KMS_KEY_PROJECT_ID는 키가 저장된 프로젝트의 ID입니다.
      • KMS_KEY_LOCATION은 키의 위치입니다.
      • KMS_KEYRING_NAME은 키링의 이름입니다.
      • KMS_KEY_NAME은 키의 이름입니다.
      • KMS_KEY_VERSION은 키 버전입니다.
    2. [선택사항] KMS 키를 설정합니다.

      증명자에 저장할 수 있는 KMS 키를 만듭니다. 이 단계에서는 아래에서 사용할 환경 변수도 설정합니다.

      키를 만들고 환경 변수를 설정하려면 다음을 실행하세요.

      KMS_KEY_PROJECT_ID=${PROJECT_ID}
      KMS_KEYRING_NAME=my-binauthz-keyring
      KMS_KEY_NAME=my-binauthz-kms-key-name
      KMS_KEY_LOCATION=global
      KMS_KEY_PURPOSE=asymmetric-signing
      KMS_KEY_ALGORITHM=ec-sign-p256-sha256
      KMS_PROTECTION_LEVEL=software
      KMS_KEY_VERSION=1
      
      1. KMS 키링 만들기
      gcloud kms keyrings create ${KMS_KEYRING_NAME} \
        --location ${KMS_KEY_LOCATION}
      
      1. 키 만들기
      gcloud kms keys create ${KMS_KEY_NAME} \
        --location ${KMS_KEY_LOCATION} \
        --keyring ${KMS_KEYRING_NAME}  \
        --purpose ${KMS_KEY_PURPOSE} \
        --default-algorithm ${KMS_KEY_ALGORITHM} \
        --protection-level ${KMS_PROTECTION_LEVEL}
      

      KMS 키 만들기에 대한 자세한 내용은 비대칭 키 만들기를 참조하세요.

    3. 공개 키를 증명자에 추가합니다.

      gcloud --project="${ATTESTOR_PROJECT_ID}" \
          alpha container binauthz attestors public-keys add \
          --attestor="${ATTESTOR_NAME}" \
          --keyversion-project="${KMS_KEY_PROJECT_ID}" \
          --keyversion-location="${KMS_KEY_LOCATION}" \
          --keyversion-keyring="${KMS_KEYRING_NAME}" \
          --keyversion-key="${KMS_KEY_NAME}" \
          --keyversion="${KMS_KEY_VERSION}"
      

증명자가 생성되었는지 확인

증명자가 생성되었는지 확인하려면 다음을 실행하세요.

gcloud --project="${ATTESTOR_PROJECT_ID}" \
    beta container binauthz attestors list

다음 단계