Deployment solo delle immagini create da Cloud Build

Questa pagina descrive come proteggere la catena di fornitura del software configurando Autorizzazione binaria per consentire il deployment solo delle immagini container create da Cloud Build.

Configura questo controllo del deployment richiedendo l'attestatore built-by-cloud-build nel criterio di Autorizzazione binaria. Cloud Build crea automaticamente l'built-by-cloud-build attestatore nel tuo progetto quando esegui una build che genera immagini. Una volta create correttamente le immagini, Cloud Build le firma e crea automaticamente le attestazioni. Al momento del deployment, Autorizzazione binaria verifica le attestazioni con l'attestatore built-by-cloud-build. È consentito il deployment delle immagini verificate. Le immagini che non superano la verifica non possono essere sottoposte a deployment e l'errore viene registrato in Cloud Audit Logs.

Per una guida end-to-end che descrive come utilizzare i metadati registrati da Cloud Build e Autorizzazione binaria, consulta Utilizzo di provenienza firmata e Autorizzazione binaria.

Prima di iniziare

Per utilizzare questa funzionalità, devi prima:

Configura il criterio

In questa sezione configurerai il criterio di Autorizzazione binaria in modo che richieda l'attestatore built-by-cloud-build.

Per consentire il deployment solo delle immagini create da Cloud Build, segui questi passaggi:

Console

  1. Vai alla pagina Autorizzazione binaria nella console Google Cloud :

    Vai all'autorizzazione binaria

  2. Nella scheda Policy, fai clic su Modifica policy.

  3. Nella finestra di dialogo Modifica criterio, seleziona Consenti solo le immagini approvate da tutti i seguenti attestatori.

  4. Fai clic su Aggiungi attestatori.

  5. Nella finestra di dialogo Aggiungi attestatori, procedi nel seguente modo:

    1. Seleziona Aggiungi in base a nome progetto e attestatore ed esegui i seguenti passaggi:
      1. Nel campo Nome progetto, inserisci il progetto in cui esegui Cloud Build.
      2. Fai clic sul campo Nome attestatore e nota che l'attestatore built-by-cloud-build è disponibile.
      3. Fai clic su built-by-cloud-build.

    2. In alternativa, seleziona Aggiungi tramite ID risorsa attestatore. In ID risorsa attestatore, inserisci

      projects/PROJECT_ID/attestors/built-by-cloud-build

      Sostituisci PROJECT_ID con il progetto in cui esegui Cloud Build.

  6. Fai clic su Aggiungi 1 attestatore.

  7. Fai clic su Save Policy (Salva criterio).

gcloud

  1. Esporta la policy esistente in un file utilizzando il seguente comando:

    gcloud container binauthz policy export > /tmp/policy.yaml

  2. Modifica il file delle norme.

  3. Modifica una delle seguenti regole:

    • defaultAdmissionRule
    • clusterAdmissionRules
    • istioServiceIdentityAdmissionRules
    • kubernetesServiceAccountAdmissionRules

  4. Aggiungi un blocco requireAttestationsBy alla regola se non ne esiste già uno.

  5. Nel blocco requireAttestationsBy, aggiungi

    projects/PROJECT_ID/attestors/built-by-cloud-build

    Sostituisci PROJECT_ID con il progetto in cui esegui Cloud Build.

  6. Salva il file della policy.

  7. Importa il file di criteri.

    gcloud container binauthz policy import /tmp/policy.yaml

    Di seguito è riportato un esempio di file di criteri che contiene il riferimento a built-by-cloud-build-attestor:

    defaultAdmissionRule:
  evaluationMode: REQUIRE_ATTESTATION
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
  requireAttestationsBy:
    - projects/PROJECT_ID/attestors/built-by-cloud-build
name: projects/PROJECT_ID/policy

    Sostituisci PROJECT_ID con l'ID del progetto in cui esegui Cloud Build.

Passaggi successivi