Questa pagina mostra come utilizzare il servizio Organization Policy per richiedere che i cluster GKE utilizzino uno o più criteri della piattaforma basati su controlli di convalida continua (CV). Specifica i criteri della piattaforma basati su controlli obbligatori nei vincoli personalizzati. Successivamente, applica i vincoli personalizzati nel criterio dell'organizzazione.
Costi
Questa guida utilizza i seguenti servizi Google Cloud:
- Autorizzazione binaria, ma CV è disponibile senza costi durante la fase di anteprima
- I criteri e i vincoli dell'organizzazione sono offerti senza costi.
Prima di iniziare
- Attiva Autorizzazione binaria.
- Configura il CV con criteri della piattaforma basati su controllo e almeno un criterio della piattaforma basato su controllo CV.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per creare vincoli e applicare i criteri dell'organizzazione,
chiedi all'amministratore di concederti il ruolo IAM Amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin) nella tua organizzazione Google Cloud.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Crea un vincolo personalizzato di CV
Console
Nella console Google Cloud, vai alla pagina Norme dell'organizzazione.
Nella pagina Criteri dell'organizzazione, fai clic su Vincolo personalizzato.
Se ti viene richiesto, fai clic su Passa all'organizzazione principale. Per approfondire le organizzazioni, consulta Introduzione al servizio Criteri dell'organizzazione
In Dettagli vincolo, inserisci le seguenti informazioni nei campi:
Nome visualizzato: il nome visualizzato del vincolo, ad esempio
Require a Binary Authorization continuous validation policy for all GKE clusters. Utilizza il nome visualizzato per cercare la limitazione dopo che è stata salvata. Il campo del nome visualizzato ha una lunghezza massima di 200 caratteriID vincolo: un ID per il vincolo, ad esempio
RequireBinAuthzCVPolicy.(Facoltativo) Descrizione: una descrizione semplice da parte dell'utente del del vincolo che viene visualizzato come messaggio di errore quando il criterio viene violato. Il campo della descrizione ha una lunghezza massima di 2000 caratteri.
In Applicazione, segui questi passaggi:
In Tipi di risorsa, inserisci
container.googleaips.com/Cluster.In Metodo di applicazione forzata, seleziona Forza applicazione in fase di creazione e aggiornamento.
Inserisci un'espressione nel campo Condizione. Questo campo ha una lunghezza massima di 1000 caratteri. Il vincolo personalizzato viene applicato quando la condizione ha valore
true. La condizione è un'espressione nella sintassi del Common Expression Language (CEL). Puoi combinare espressioni con (&&) e o (||) per creare una condizione complessa. CEL è un linguaggio di espressione in stile C. Per saperne di più sulla sintassi e semantica di CEL, consulta https://github.com/google/cel-spec. Per inserire la condizione:Fai clic su Modifica condizione.
Inserisci un'espressione per verificare l'esistenza di un Criteri della piattaforma CV. La seguente condizione richiede che una piattaforma CV l'associazione di criteri esiste e che il criterio della piattaforma ha uno specifico criterio nome:
resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID/platforms/gke/policies/POLICY_ID")Sostituisci quanto segue:
PROJECT_ID: l'ID progetto del tuo criteri della piattaforma. Il progetto deve trovarsi nella stessa organizzazione.POLICY_ID: l'ID criterio del tuo criteri della piattaforma.
La seguente condizione richiede l'esistenza di due associazioni di criteri della piattaforma CV e che ciascuna abbia un nome specifico per i criteri della piattaforma.
resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID1/platforms/gke/policies/POLICY_ID1") && resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID2/platforms/gke/policies/POLICY_ID2")PROJECT_ID1: l'ID progetto del tuo il primo criterio della piattaforma. Il progetto deve trovarsi nella stessa organizzazione.POLICY_ID1: l'ID del primo criterio della piattaforma.PROJECT_ID2: l'ID progetto del secondo criterio della piattaforma.POLICY_ID2: l'ID del secondo criterio della piattaforma.Fai clic su Salva.
In Azione, seleziona Consenti.
Per creare il vincolo personalizzato, fai clic su Crea vincolo.
gcloud
Crea un file YAML per il vincolo personalizzato:
name: organizations/ORGANIZATION_ID/customConstraints/custom.CONSTRAINT_ID resource_types: container.googleapis.com/Cluster method_types: - CREATE - UPDATE condition: >- CONDITION action_type: ACTION display_name: DISPLAY_NAME description: DESCRIPTIONSostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazione, ad esempio123456789.CONSTRAINT_ID: un ID vincolo, ad esempioRequireBinAuthzCVPolicy.CONDITION: inserisci un'espressione per verificare l'esistenza di norme della piattaforma CV. Questo campo ha una lunghezza massima di 1000 caratteri. Il vincolo personalizzato viene applicato quando la condizione ha valoretrue. La condizione è un'espressione nella sintassi del Common Expression Language (CEL). Puoi combinare espressioni con (&&) e o (||) per creare una condizione complessa. CEL è un linguaggio di espressione in stile C. Per scoprire di più sulla sintassi e sulla semantica di CEL, visita la pagina https://github.com/google/cel-spec. La seguente condizione richiede che esista un'associazione di criteri della piattaforma CV e che il criterio della piattaforma abbia un nome specifico:resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID/platforms/gke/policies/POLICY_ID")Sostituisci quanto segue:
PROJECT_ID: l'ID progetto del tuo criteri della piattaforma. Il progetto deve trovarsi nella stessa organizzazione.POLICY_ID: l'ID criterio del tuo criteri della piattaforma.
La seguente condizione richiede l'esistenza di due associazioni di criteri della piattaforma CV e che ciascuna abbia un nome specifico per i criteri della piattaforma.
resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID1/platforms/gke/policies/POLICY_ID1") && resource.binaryAuthorization.policyBindings.exists(policy, policy.name == "projects/PROJECT_ID2/platforms/gke/policies/POLICY_ID2")PROJECT_ID1: l'ID progetto del tuo il primo criterio della piattaforma. Il progetto deve trovarsi nella stessa organizzazione.POLICY_ID1: l'ID del primo criterio della piattaforma.PROJECT_ID2: l'ID progetto del secondo criterio della piattaforma.POLICY_ID2: l'ID criterio del tuo secondo criterio della piattaforma.ACTION: l'azione da eseguire se la condizioneconditionè soddisfatta. Può essereALLOWoDENY.DISPLAY_NAME: un nome facile da ricordare per il vincolo, ad esempioRequire a Binary Authorization continuous validation policy for all GKE clusters. Il campo del nome visualizzato ha una lunghezza massima di 200 caratteriDESCRIPTION: una descrizione chiara del vincolo da visualizzare come messaggio di errore in caso di violazione del criterio. Il campo della descrizione ha una lunghezza massima di 2000 caratteri.
Applica il vincolo personalizzato:
gcloud org-policies set-custom-constraint CUSTOM_CONSTRAINT_PATHSostituisci
CUSTOM_CONSTRAINT_PATHcon il percorso della definizione del vincolo personalizzato.Verifica che il vincolo personalizzato esista:
gcloud org-policies list-custom-constraints \ --organization=ORGANIZATION_IDL'output è simile al seguente:
CUSTOM_CONSTRAINT: custom.RequireBinAuthzCVPolicy ACTION_TYPE: ALLOW METHOD_TYPES: CREATE,UPDATE RESOURCE_TYPES: container.googleapis.com/Cluster DISPLAY_NAME: This cluster requires the continuous validation policy: projects/my-project/platforms/gke/policies/my-policy
Per attivare l'applicazione del vincolo personalizzato che hai creato, crea un criterio dell'organizzazione.
Utilizza un criterio dell'organizzazione per applicare il vincolo personalizzato
Per applicare il nuovo vincolo personalizzato, crea un criterio dell'organizzazione che fa riferimento al vincolo e applica il criterio dell'organizzazione.
Console
Per applicare il vincolo:
Nella console Google Cloud, vai alla pagina Norme dell'organizzazione.
Scegli il selettore di progetti e scegli l'organizzazione.
Cerca e seleziona la limitazione dall'elenco.
Nella pagina Dettagli criteri relativa al vincolo, fai clic su Gestisci criteri.
Nella pagina Modifica criterio, seleziona Ignora criterio della risorsa padre.
Fai clic su Aggiungi una regola.
In Applicazione, seleziona On.
(Facoltativo) Fai clic su Testa modifiche per simulare l'effetto di questo criterio dell'organizzazione. Per ulteriori informazioni, consulta Testare le modifiche ai criteri dell'organizzazione con Policy Simulator.
Per completare e applicare il criterio dell'organizzazione, fai clic su Imposta criterio.
gcloud
Crea un file di definizione dei criteri YAML:
name: organizations/ORGANIZATION_ID/policies/custom.CONSTRAINT_ID spec: rules: - enforce: trueSostituisci quanto segue:
ORGANIZATION_ID: l'ID organizzazioneCONSTRAINT_ID: l'ID del vincolo
Applicare il criterio:
gcloud org-policies set-policy ORG_POLICY_PATHSostituisci
ORG_POLICY_PATHcon il percorso del tuo di definizione dei criteri.Verifica che il criterio esista:
gcloud org-policies list \ --organization=ORGANIZATION_IDSostituisci
ORGANIZATION_IDcon l'ID organizzazione.Per un elenco degli argomenti, consulta
gcloud org-policies list.L'output è simile al seguente:
CONSTRAINT: custom.RequireBinAuthzCVPolicy LIST_POLICY: - BOOLEAN_POLICY: SET ETAG: CN622LIGEIDXnpMB-
L'applicazione del criterio può richiedere fino a 15 minuti.
Per applicare più vincoli ai criteri della piattaforma basati sul controllo del CV:
- Crea un vincolo personalizzato per ogni criterio basato su controllo CV.
- Aggiorna il criterio dell'organizzazione con ogni vincolo personalizzato come descritto in questa sezione.
Elimina il vincolo personalizzato
Puoi eliminare un vincolo personalizzato utilizzando la console Google Cloud o Google Cloud CLI.
Console
Nella console Google Cloud, vai alla pagina Norme dell'organizzazione.
Seleziona il selettore del progetto nella parte superiore della pagina.
Dal selettore dei progetti, seleziona la tua organizzazione.
Cerca e seleziona il vincolo dall'elenco.
In Dettagli vincolo, fai clic su Elimina.
Per confermare di voler eliminare la limitazione, fai clic su Elimina.
gcloud
Per eliminare un vincolo personalizzato, utilizza org-policies delete-custom-constraint
Comando gcloud CLI:
gcloud org-policies delete-custom-constraint custom.CONSTRAINT_ID \
--organization=ORGANIZATION_ID
Sostituisci quanto segue:
ORGANIZATION_ID: l'ID della tua organizzazione, ad esempio123456789CONSTRAINT_NAME: il nome del vincolo personalizzato
L'output è simile al seguente:
Deleted custom constraint [organizations/123456789/customConstraints/CONSTRAINT_NAME]
Dopo aver eliminato un vincolo personalizzato, tutti i criteri creati utilizzando il vincolo continua a esistere, ma viene ignorato. Non puoi crearne un'altra vincolo personalizzato con lo stesso nome di un vincolo personalizzato eliminato.
Passaggi successivi
- Scopri di più sui vincoli dei criteri dell'organizzazione.
- Utilizzare il controllo di aggiornamento delle immagini
- Utilizzare il semplice controllo di attestazione della firma
- Utilizzare il controllo delle firme Sigstore
- Utilizzare il controllo SLSA
- Utilizzare il controllo della directory attendibile
- Utilizzare il controllo delle vulnerabilità
- Visualizza log CV