Nesta página, mostramos como conceder o acesso de autorização binária a políticas e imagens de contêiner que existem em projetos do Google Cloud diferentes do projeto atual. Por exemplo, se você implantar imagens no cluster do Google Kubernetes Engine (GKE) de um repositório do Artifact Registry ou do Container Registry (descontinuado) de outro projeto, será necessário conceder ao serviço de autorização binária no projeto acesso aos metadados de imagem no repositório de origem.
Terminologia
Neste documento, usamos os seguintes termos:
- Agente de serviço: uma conta de serviço gerenciada pelo Google Cloud. A autorização binária usa um agente de serviço para interagir com os recursos do Google Cloud, como os clusters do GKE.
- Projeto de política: o projeto do Google Cloud que contém sua política de autorização binária.
- Projeto de cluster: o projeto do Google Cloud que contém seu cluster do GKE.
- Projeto artefato: o projeto do Google Cloud que contém seu repositório do Artifact Registry ou do Container Registry (descontinuado).
Situações que exigem acesso entre projetos
É necessário conceder permissões entre projetos em situações como as exibidas a seguir:
- O projeto de política é diferente do projeto do cluster.
- O projeto do cluster é diferente do projeto de artefato.
Antes de começar
- Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Crie ou selecione um projeto do Google Cloud.
-
Crie um projeto do Google Cloud:
gcloud projects create PROJECT_ID
Substitua
PROJECT_ID
por um nome para o projeto do Google Cloud que você está criando. -
Selecione o projeto do Google Cloud que você criou:
gcloud config set project PROJECT_ID
Substitua
PROJECT_ID
pelo nome do projeto do Google Cloud.
-
-
Verifique se a cobrança está ativada para o seu projeto do Google Cloud.
-
Ative a API Binary Authorization:
gcloud services enable binaryauthorization.googleapis.com
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Crie ou selecione um projeto do Google Cloud.
-
Crie um projeto do Google Cloud:
gcloud projects create PROJECT_ID
Substitua
PROJECT_ID
por um nome para o projeto do Google Cloud que você está criando. -
Selecione o projeto do Google Cloud que você criou:
gcloud config set project PROJECT_ID
Substitua
PROJECT_ID
pelo nome do projeto do Google Cloud.
-
-
Verifique se a cobrança está ativada para o seu projeto do Google Cloud.
-
Ative a API Binary Authorization:
gcloud services enable binaryauthorization.googleapis.com
Projeto de cluster diferente do projeto de política
Conceda ao agente de serviço de autorização binária no projeto de cluster o papel
Avaliador de políticas de autorização binária
(roles/binaryauthorization.policyEvaluator
)
no projeto de política.
gcloud projects add-iam-policy-bindingPOLICY_PROJECT_ID
\ --member="serviceAccount:service-$(gcloud projects describeCLUSTER_PROJECT_ID
--format='value(projectNumber)')@gcp-sa-binaryauthorization.iam.gserviceaccount.com" \ --role=roles/binaryauthorization.policyEvaluator
Substitua:
POLICY_PROJECT_ID
: o ID do projeto que contém seus artefatos.CLUSTER_PROJECT_ID
: o ID do projeto do cluster.
Projeto do cluster diferente do projeto de artefato
Conceda ao agente de serviço de autorização binária no projeto de cluster o papel
Leitor do Artifact Registry
(roles/artifactregistry.reader
) no projeto de artefato.
gcloud projects add-iam-policy-bindingARTIFACT_PROJECT_ID
\ --member="serviceAccount:service-$(gcloud projects describeCLUSTER_PROJECT_ID
--format='value(projectNumber)')@gcp-sa-binaryauthorization.iam.gserviceaccount.com" \ --role=roles/artifactregistry.reader
Substitua:
ARTIFACT_PROJECT_ID
: o ID do projeto que contém o repositório do Artifact Registry.CLUSTER_PROJECT_ID
: o ID do projeto que executa os clusters do GKE.