Richiede criteri della piattaforma basati su controlli di convalida continui per tutti i cluster GKE

Questa pagina mostra come utilizzare il servizio Criteri dell'organizzazione per richiedere che i cluster GKE utilizzino uno o più criteri della piattaforma basati sui controlli di convalida continua (CV). Devi specificare i criteri della piattaforma basati sui controlli richiesti nei vincoli personalizzati. Puoi quindi applicare i vincoli personalizzati nel criterio dell'organizzazione.

Costi

Questa guida utilizza i seguenti servizi Google Cloud:

  • Autorizzazione binaria, ma CV è disponibile senza costi durante la fase di anteprima
  • I criteri e i vincoli dell'organizzazione sono disponibili senza costi aggiuntivi.

Prima di iniziare

  1. Attiva Autorizzazione binaria.
  2. Configura CV con criteri della piattaforma basati sui controlli e almeno un criterio della piattaforma basata sui controlli del CV.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare vincoli e applicare i criteri dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin) per la tua organizzazione Google Cloud. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Crea un vincolo personalizzato di CV

Console

  1. Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Nella pagina Criteri dell'organizzazione, fai clic su Vincolo personalizzato.

  3. Se ti viene richiesto, fai clic su Passa all'organizzazione principale. Per scoprire di più sulle organizzazioni, consulta Introduzione al servizio Criteri dell'organizzazione.

  4. In Dettagli vincolo, inserisci le informazioni seguenti nei campi:

    1. Nome visualizzato: il nome visualizzato del vincolo, ad esempio Require a Binary Authorization continuous validation policy for all GKE clusters. Puoi utilizzare il nome visualizzato per cercare il vincolo dopo averlo salvato. Il campo del nome visualizzato ha una lunghezza massima di 200 caratteri

    2. ID vincolo: un ID vincolo per il vincolo, ad esempio RequireBinAuthzCVPolicy.

    3. (Facoltativo) Descrizione: una descrizione semplice del vincolo da visualizzare come messaggio di errore quando il criterio viene violato. Il campo della descrizione ha una lunghezza massima di 2000 caratteri.

  5. In Applicazione, procedi nel seguente modo:

    1. In Tipi di risorsa, inserisci container.googleaips.com/Cluster.

    2. In Metodo di applicazione, seleziona Applica in caso di creazione e aggiornamento.

    3. Inserisci un'espressione nel campo Condizione. Questo campo ha una lunghezza massima di 1000 caratteri. Il vincolo personalizzato viene applicato quando la condizione restituisce true. La condizione è come espressione nella sintassi CEL (Common Expression Language). Puoi combinare le espressioni con e (&&) e o (||) per creare una condizione complessa. CEL è un linguaggio di espressione in stile C. Per saperne di più sulla sintassi e semantica di CEL, consulta https://github.com/google/cel-spec. Per inserire la condizione:

      1. Fai clic su Modifica condizione.

      2. Inserisci un'espressione per verificare l'esistenza di un criterio della piattaforma CV. La seguente condizione richiede l'esistenza di un'associazione di criteri della piattaforma CV e che il criterio della piattaforma abbia un nome specifico:

        resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID/platforms/gke/policies/POLICY_ID")

        Sostituisci quanto segue:

        • PROJECT_ID: l'ID progetto del criterio della piattaforma. Il progetto deve trovarsi nella stessa organizzazione.
        • POLICY_ID: l'ID del criterio della piattaforma.

        La seguente condizione richiede l'esistenza di due associazioni di criteri della piattaforma CV e che ciascuna abbia un nome specifico per il criterio della piattaforma.

        resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID1/platforms/gke/policies/POLICY_ID1") && resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID2/platforms/gke/policies/POLICY_ID2")
        • PROJECT_ID1: l'ID progetto del primo criterio della piattaforma. Il progetto deve trovarsi nella stessa organizzazione.
        • POLICY_ID1: l'ID criterio del primo criterio della piattaforma.
        • PROJECT_ID2: l'ID progetto del secondo criterio della piattaforma.
        • POLICY_ID2: l'ID criterio del secondo criterio della piattaforma.

        • Fai clic su Salva.

    4. In Azione, seleziona Consenti.

  6. Per creare il vincolo personalizzato, fai clic su Crea vincolo.

gcloud

  1. Crea un file YAML per il vincolo personalizzato:

    name: organizations/ORGANIZATION_ID/customConstraints/custom.CONSTRAINT_ID
resource_types: container.googleapis.com/Cluster
method_types:
  - CREATE
  - UPDATE
condition: >-
  CONDITION
action_type: ACTION
display_name: DISPLAY_NAME
description: DESCRIPTION

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID della tua organizzazione, ad esempio 123456789.
    • CONSTRAINT_ID: un ID vincolo, ad esempio RequireBinAuthzCVPolicy.

    • CONDITION: inserisci un'espressione per verificare l'esistenza di un criterio della piattaforma CV. Questo campo ha una lunghezza massima di 1000 caratteri. Il vincolo personalizzato viene applicato quando la condizione restituisce true. La condizione è come espressione nella sintassi CEL (Common Expression Language). Puoi combinare le espressioni con e (&&) e o (||) per creare una condizione complessa. CEL è un linguaggio di espressione in stile C. Per saperne di più sulla sintassi e semantica di CEL, consulta https://github.com/google/cel-spec. La seguente condizione richiede l'esistenza di un'associazione di criteri della piattaforma CV e che il criterio della piattaforma abbia un nome specifico:

      resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID/platforms/gke/policies/POLICY_ID")

      Sostituisci quanto segue:

      • PROJECT_ID: l'ID progetto del criterio della piattaforma. Il progetto deve trovarsi nella stessa organizzazione.
      • POLICY_ID: l'ID del criterio della piattaforma.

      La seguente condizione richiede l'esistenza di due associazioni di criteri della piattaforma CV e che ciascuna abbia un nome specifico per il criterio della piattaforma.

      resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID1/platforms/gke/policies/POLICY_ID1") && resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID2/platforms/gke/policies/POLICY_ID2")
      • PROJECT_ID1: l'ID progetto del primo criterio della piattaforma. Il progetto deve trovarsi nella stessa organizzazione.
      • POLICY_ID1: l'ID criterio del primo criterio della piattaforma.
      • PROJECT_ID2: l'ID progetto del secondo criterio della piattaforma.
      • POLICY_ID2: l'ID criterio del secondo criterio della piattaforma.

      • ACTION: l'azione da eseguire se viene soddisfatto condition. Può essere ALLOW o DENY.

      • DISPLAY_NAME: un nome semplice per il vincolo, ad esempio Require a Binary Authorization continuous validation policy for all GKE clusters. Il campo del nome visualizzato ha una lunghezza massima di 200 caratteri

      • DESCRIPTION: una descrizione semplice del vincolo da visualizzare come messaggio di errore quando il criterio viene violato. Il campo della descrizione ha una lunghezza massima di 2000 caratteri.

    • Applica il vincolo personalizzato:

      gcloud org-policies set-custom-constraint CUSTOM_CONSTRAINT_PATH

      Sostituisci CUSTOM_CONSTRAINT_PATH con il percorso della definizione del vincolo personalizzato.

    • Verifica che il vincolo personalizzato esista:

      gcloud org-policies list-custom-constraints \
    --organization=ORGANIZATION_ID

      L'output è simile al seguente:

      CUSTOM_CONSTRAINT: custom.RequireBinAuthzCVPolicy
ACTION_TYPE: ALLOW
METHOD_TYPES: CREATE,UPDATE
RESOURCE_TYPES: container.googleapis.com/Cluster
DISPLAY_NAME: This cluster requires the continuous validation policy: projects/my-project/platforms/gke/policies/my-policy

Per attivare l'applicazione del vincolo personalizzato che hai creato, crea un criterio dell'organizzazione.

Utilizza un criterio dell'organizzazione per applicare il vincolo personalizzato

Per applicare il nuovo vincolo personalizzato, crea un criterio dell'organizzazione che faccia riferimento al vincolo, quindi applica il criterio dell'organizzazione.

Console

Per applicare il vincolo:

  1. Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Scegli il selettore di progetti e scegli l'organizzazione.

  3. Cerca e seleziona il vincolo dall'elenco.

  4. Nella pagina Dettagli criterio per quel vincolo, fai clic su Gestisci criterio.

  5. Nella pagina Modifica criterio, seleziona Sostituisci criterio della risorsa padre.

  6. Fai clic su Aggiungi una regola.

  7. In Applicazione, seleziona On.

  8. (Facoltativo) Fai clic su Testa modifiche per simulare l'effetto di questo criterio dell'organizzazione. Per maggiori informazioni, vedi Testare le modifiche ai criteri dell'organizzazione con Policy Simulator.

  9. Per completare e applicare il criterio dell'organizzazione, fai clic su Imposta criterio.

gcloud

  1. Crea un file di definizione dei criteri YAML:

    name: organizations/ORGANIZATION_ID/policies/custom.CONSTRAINT_ID
spec:
  rules:
  - enforce: true

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID organizzazione
    • CONSTRAINT_ID: l'ID del vincolo

  2. Applica il criterio:

    gcloud org-policies set-policy ORG_POLICY_PATH

    Sostituisci ORG_POLICY_PATH con il percorso del file di definizione dei criteri.

  3. Verifica che il criterio esista:

    gcloud org-policies list \
    --organization=ORGANIZATION_ID

    Sostituisci ORGANIZATION_ID con l'ID organizzazione.

    Per un elenco di argomenti, consulta gcloud org-policies list.

    L'output è simile al seguente:

    CONSTRAINT: custom.RequireBinAuthzCVPolicy
LIST_POLICY: -
BOOLEAN_POLICY: SET
ETAG: CN622LIGEIDXnpMB-

L'applicazione del criterio può richiedere fino a 15 minuti.

Per applicare più vincoli ai criteri della piattaforma basati sul controllo di CV, segui questi passaggi:

  • Crea un vincolo personalizzato per criterio basato su controllo di CV.
  • Aggiorna il criterio dell'organizzazione con ogni vincolo personalizzato come descritto in questa sezione.

Elimina il vincolo personalizzato

Puoi eliminare un vincolo personalizzato utilizzando la console Google Cloud o Google Cloud CLI.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Seleziona il selettore di progetti nella parte superiore della pagina.

  3. Dal selettore di progetti, seleziona la tua organizzazione.

  4. Cerca e seleziona il vincolo dall'elenco.

  5. In Dettagli vincolo, fai clic su Elimina.

  6. Per confermare di voler eliminare il vincolo, fai clic su Elimina.

gcloud

Per eliminare un vincolo personalizzato, utilizza il comando org-policies delete-custom-constraint gcloud CLI:

gcloud org-policies delete-custom-constraint custom.CONSTRAINT_ID \
  --organization=ORGANIZATION_ID

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione, ad esempio 123456789

  • CONSTRAINT_NAME: il nome del vincolo personalizzato

L'output è simile al seguente:

Deleted custom constraint [organizations/123456789/customConstraints/CONSTRAINT_NAME]

Dopo aver eliminato un vincolo personalizzato, tutti i criteri creati utilizzando questo vincolo continuano a esistere, ma vengono ignorati. Non puoi creare un altro vincolo personalizzato con lo stesso nome di un vincolo personalizzato eliminato.

Passaggi successivi