Mewajibkan kebijakan platform berbasis pemeriksaan validasi berkelanjutan untuk semua cluster GKE

Halaman ini menunjukkan cara menggunakan Layanan Kebijakan Organisasi untuk mewajibkan cluster GKE menggunakan satu atau beberapa kebijakan platform berbasis pemeriksaan validasi berkelanjutan (CV). Anda menentukan kebijakan platform berbasis pemeriksaan yang diperlukan di batasan kustom. Kemudian, Anda menerapkan batasan khusus dalam kebijakan organisasi.

Biaya

Panduan ini menggunakan layanan Google Cloud berikut:

  • Otorisasi Biner, tetapi CV tersedia tanpa biaya selama tahap Pratinjau
  • Batasan dan kebijakan organisasi ditawarkan tanpa biaya.

Sebelum memulai

  1. Aktifkan Otorisasi Biner.
  2. Siapkan CV dengan kebijakan platform berbasis pemeriksaan dan minimal satu kebijakan platform berbasis pemeriksaan CV.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk membuat batasan dan menerapkan kebijakan organisasi, minta administrator untuk memberi Anda peran IAM Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin) di organisasi Google Cloud Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Membuat batasan kustom CV

Konsol

  1. Di konsol Google Cloud, buka halaman Organization policies.

    Buka Organization policies

  2. Di halaman Organization policies, klik Custom constraint.

  3. Jika diminta, klik Beralih ke organisasi induk. Untuk mempelajari organisasi lebih lanjut, lihat Pengantar Layanan Kebijakan Organisasi

  4. Di Detail batasan, masukkan informasi berikut di kolom yang disediakan:

    1. Nama tampilan: Nama tampilan untuk batasan Anda, seperti Require a Binary Authorization continuous validation policy for all GKE clusters. Anda menggunakan nama tampilan untuk mencari batasan setelah disimpan. Kolom nama tampilan memiliki panjang maksimum 200 karakter

    2. ID Batasan: ID batasan untuk batasan Anda—misalnya, RequireBinAuthzCVPolicy.

    3. Description (Opsional): deskripsi batasan yang mudah dipahami untuk ditampilkan sebagai pesan error saat kebijakan dilanggar. Kolom deskripsi memiliki panjang maksimal 2.000 karakter.

  5. Di Penerapan, lakukan hal berikut:

    1. Di Resource types, masukkan container.googleaips.com/Cluster.

    2. Di Metode penerapan, pilih Terapkan saat membuat dan memperbarui.

    3. Masukkan ekspresi ke kolom Kondisi. Kolom ini memiliki panjang maksimal 1000 karakter. Batasan kustom diterapkan saat kondisi bernilai true. Kondisinya adalah sebagai ekspresi dalam sintaksis Common Expression Language (CEL). Anda dapat menggabungkan ekspresi dengan dan (&&) dan atau (||) untuk membuat kondisi yang kompleks. CEL adalah bahasa ekspresi mirip C. Untuk mempelajari sintaksis dan semantik CEL lebih lanjut, lihat https://github.com/google/cel-spec. Untuk memasukkan kondisi, lakukan tindakan berikut:

      1. Klik Edit condition.

      2. Masukkan ekspresi untuk memeriksa keberadaan kebijakan platform CV. Kondisi berikut mewajibkan binding kebijakan platform CV ada dan kebijakan platform memiliki nama tertentu:

        resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID/platforms/gke/policies/POLICY_ID")

        Ganti kode berikut:

        • PROJECT_ID: project ID kebijakan platform Anda. Project harus berada dalam organisasi yang sama.
        • POLICY_ID: ID kebijakan dari kebijakan platform Anda.

        Kondisi berikut mewajibkan adanya dua binding kebijakan platform CV dan masing-masing memiliki nama kebijakan platform tertentu.

        resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID1/platforms/gke/policies/POLICY_ID1") && resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID2/platforms/gke/policies/POLICY_ID2")
        • PROJECT_ID1: project ID dari kebijakan platform pertama Anda. Project harus berada dalam organisasi yang sama.
        • POLICY_ID1: ID kebijakan dari kebijakan platform pertama Anda.
        • PROJECT_ID2: project ID dari kebijakan platform kedua Anda.
        • POLICY_ID2: ID kebijakan kebijakan platform kedua Anda.

        • Klik Simpan.

    4. Di bagian Tindakan, pilih Izinkan.

  6. Untuk membuat batasan kustom, klik Create Constraint.

gcloud

  1. Buat file YAML untuk batasan khusus:

    name: organizations/ORGANIZATION_ID/customConstraints/custom.CONSTRAINT_ID
resource_types: container.googleapis.com/Cluster
method_types:
  - CREATE
  - UPDATE
condition: >-
  CONDITION
action_type: ACTION
display_name: DISPLAY_NAME
description: DESCRIPTION

    Ganti kode berikut:

    • ORGANIZATION_ID: ID organisasi Anda—misalnya, 123456789.
    • CONSTRAINT_ID: ID batasan—misalnya, RequireBinAuthzCVPolicy.

    • CONDITION: masukkan ekspresi untuk memeriksa adanya kebijakan platform CV. Kolom ini memiliki panjang maksimal 1000 karakter. Batasan kustom diterapkan saat kondisi bernilai true. Kondisinya adalah sebagai ekspresi dalam sintaksis Common Expression Language (CEL). Anda dapat menggabungkan ekspresi dengan dan (&&) dan atau (||) untuk membuat kondisi yang kompleks. CEL adalah bahasa ekspresi mirip C. Untuk mempelajari sintaksis dan semantik CEL lebih lanjut, lihat https://github.com/google/cel-spec. Kondisi berikut mewajibkan binding kebijakan platform CV ada dan kebijakan platform memiliki nama tertentu:

      resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID/platforms/gke/policies/POLICY_ID")

      Ganti kode berikut:

      • PROJECT_ID: project ID kebijakan platform Anda. Project harus berada dalam organisasi yang sama.
      • POLICY_ID: ID kebijakan dari kebijakan platform Anda.

      Kondisi berikut mewajibkan adanya dua binding kebijakan platform CV dan masing-masing memiliki nama kebijakan platform tertentu.

      resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID1/platforms/gke/policies/POLICY_ID1") && resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID2/platforms/gke/policies/POLICY_ID2")
      • PROJECT_ID1: project ID dari kebijakan platform pertama Anda. Project harus berada dalam organisasi yang sama.
      • POLICY_ID1: ID kebijakan dari kebijakan platform pertama Anda.
      • PROJECT_ID2: project ID dari kebijakan platform kedua Anda.
      • POLICY_ID2: ID kebijakan kebijakan platform kedua Anda.

      • ACTION: tindakan yang akan diambil jika condition terpenuhi. Ini dapat berupa ALLOW atau DENY.

      • DISPLAY_NAME: nama yang mudah dibaca manusia untuk batasan—misalnya, Require a Binary Authorization continuous validation policy for all GKE clusters. Kolom nama tampilan memiliki panjang maksimum 200 karakter

      • DESCRIPTION: deskripsi batasan yang mudah dipahami untuk ditampilkan sebagai pesan error saat kebijakan dilanggar. Kolom deskripsi memiliki panjang maksimal 2.000 karakter.

    • Terapkan batasan khusus:

      gcloud org-policies set-custom-constraint CUSTOM_CONSTRAINT_PATH

      Ganti CUSTOM_CONSTRAINT_PATH dengan jalur definisi batasan kustom Anda.

    • Pastikan batasan khusus ada:

      gcloud org-policies list-custom-constraints \
    --organization=ORGANIZATION_ID

      Outputnya mirip dengan hal berikut ini:

      CUSTOM_CONSTRAINT: custom.RequireBinAuthzCVPolicy
ACTION_TYPE: ALLOW
METHOD_TYPES: CREATE,UPDATE
RESOURCE_TYPES: container.googleapis.com/Cluster
DISPLAY_NAME: This cluster requires the continuous validation policy: projects/my-project/platforms/gke/policies/my-policy

Untuk mengaktifkan penerapan batasan kustom yang Anda buat, buat kebijakan organisasi.

Menggunakan kebijakan organisasi untuk menerapkan batasan khusus

Untuk menerapkan batasan khusus baru, buat kebijakan organisasi yang merujuk ke batasan tersebut, lalu terapkan kebijakan organisasi.

Konsol

Untuk menerapkan batasan, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Organization policies.

    Buka Organization policies

  2. Pilih pemilih project, pilih organisasi.

  3. Telusuri dan pilih batasan Anda dari daftar.

  4. Di halaman Policy details untuk batasan tersebut, klik Manage policy.

  5. Di halaman Edit policy, pilih Override parent's policy.

  6. Klik Add a rule.

  7. Di Enforcement, pilih On.

  8. Opsional: Klik Test changes untuk menyimulasikan efek kebijakan organisasi ini. Untuk mengetahui informasi selengkapnya, lihat Menguji perubahan kebijakan organisasi dengan Policy Simulator.

  9. Untuk menyelesaikan dan menerapkan kebijakan organisasi, klik Set policy.

gcloud

  1. Buat file definisi kebijakan YAML:

    name: organizations/ORGANIZATION_ID/policies/custom.CONSTRAINT_ID
spec:
  rules:
  - enforce: true

    Ganti kode berikut:

    • ORGANIZATION_ID: ID organisasi
    • CONSTRAINT_ID: ID batasan

  2. Terapkan kebijakan:

    gcloud org-policies set-policy ORG_POLICY_PATH

    Ganti ORG_POLICY_PATH dengan jalur ke file definisi kebijakan Anda.

  3. Pastikan kebijakan ada:

    gcloud org-policies list \
    --organization=ORGANIZATION_ID

    Ganti ORGANIZATION_ID dengan ID organisasi.

    Untuk daftar argumen, lihat gcloud org-policies list.

    Outputnya mirip dengan hal berikut ini:

    CONSTRAINT: custom.RequireBinAuthzCVPolicy
LIST_POLICY: -
BOOLEAN_POLICY: SET
ETAG: CN622LIGEIDXnpMB-

Kebijakan ini memerlukan waktu hingga 15 menit untuk diterapkan.

Untuk menerapkan beberapa batasan pada kebijakan platform berbasis pemeriksaan CV, lakukan hal berikut:

  • Buat satu batasan kustom per kebijakan berbasis pemeriksaan CV.
  • Perbarui kebijakan organisasi dengan setiap batasan kustom seperti yang dijelaskan di bagian ini.

Menghapus batasan kustom

Anda dapat menghapus batasan kustom menggunakan Konsol Google Cloud atau Google Cloud CLI.

Konsol

  1. Di konsol Google Cloud, buka halaman Organization policies.

    Buka Organization policies

  2. Pilih pemilih project di bagian atas halaman.

  3. Dari pemilih project, pilih organisasi Anda.

  4. Telusuri dan pilih batasan Anda dari daftar.

  5. Di Constraint details, klik Delete.

  6. Untuk mengonfirmasi bahwa Anda ingin menghapus batasan, klik Hapus.

gcloud

Untuk menghapus batasan kustom, gunakan perintah gcloud CLI org-policies delete-custom-constraint:

gcloud org-policies delete-custom-constraint custom.CONSTRAINT_ID \
  --organization=ORGANIZATION_ID

Ganti kode berikut:

  • ORGANIZATION_ID: ID organisasi Anda, seperti 123456789

  • CONSTRAINT_NAME: nama batasan kustom Anda

Outputnya mirip dengan hal berikut ini:

Deleted custom constraint [organizations/123456789/customConstraints/CONSTRAINT_NAME]

Setelah Anda menghapus batasan kustom, kebijakan apa pun yang telah dibuat menggunakan batasan tersebut akan tetap ada, tetapi diabaikan. Anda tidak dapat membuat batasan kustom lain dengan nama yang sama seperti batasan kustom yang dihapus.

Langkah selanjutnya