Una vez que se ha retirado oficialmente un servicio, una función o un producto, sigue estando disponible durante al menos el periodo de tiempo definido en los Términos del Servicio. Una vez transcurrido este periodo, el servicio se cerrará.
La autorización binaria dejará de admitir la validación continua antigua (CV antigua) con políticas de un solo proyecto para GKE.
Desde el 15 de abril del 2024, no puedes habilitar la verificación de la versión antigua en proyectos nuevos de Google Kubernetes Engine (GKE).
Legacy CV seguirá monitorizando tus pods de GKE a través de políticas de un solo proyecto en los proyectos en los que ya esté habilitado hasta el 1 de mayo del 2025. Después del 1 de mayo del 2025, la versión antigua de CV dejará de monitorizar tus pods y ya no se generarán entradas de Cloud Logging para las imágenes de pods que no cumplan la política de autorización binaria de un solo proyecto.
Sustitución: validación continua (CV) con políticas de plataforma basadas en comprobaciones
Además de admitir las certificaciones, las políticas de plataforma basadas en comprobaciones te permiten monitorizar los metadatos de las imágenes de contenedor asociadas a tus pods para ayudarte a mitigar posibles problemas de seguridad. Las políticas basadas en comprobaciones de CV
proporcionan comprobaciones que incluyen lo siguiente:
Comprobación de vulnerabilidades: se comprueba si la imagen tiene vulnerabilidades de seguridad con un nivel de gravedad que definas.
Al igual que la validación continua antigua, la validación continua con políticas basadas en comprobaciones también registra en Logging los pods con imágenes no conformes.
Si usas la validación continua antigua, consulta Migración.
Para obtener más información sobre cómo usar la validación continua con políticas de plataforma basadas en comprobaciones, consulta el resumen de la validación continua.
Migración
Para migrar de una política singleton de proyecto de CV antigua a una política de plataforma equivalente basada en comprobaciones, haz lo siguiente:
Para una política de ALWAYS_ALLOW singleton de proyecto, crea una política de plataforma basada en comprobaciones
sin ningún bloque checkSet.
Para una política de singleton de proyecto de ALWAYS_DENY, crea una política de plataforma basada en comprobaciones con un solo bloque checkSet que tenga una comprobación alwaysDeny.
En el caso de una política de un solo proyecto que requiera certificaciones, crea una política basada en comprobaciones y, por cada certificador de la política de un solo proyecto, añade una SimpleSigningAttestationCheck a la política basada en comprobaciones. Al usar el mismo par de claves, la comprobación sigue funcionando con tus certificaciones y solo registra las imágenes de Pod que no tengan certificaciones válidas.
Las políticas de plataforma basadas en comprobaciones se limitan a un clúster de GKE, en lugar de a un Google Cloud proyecto. Después de crear una política de plataforma basada en comprobaciones, puede aplicarla a uno o varios clústeres.
Para habilitar la verificación de versiones con políticas de plataforma basadas en comprobaciones en un clúster, los ajustes de autorización binaria del clúster deben configurarse durante el proceso de creación o actualización del clúster.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-11 (UTC)."],[[["\u003cp\u003eBinary Authorization is discontinuing support for legacy continuous validation (legacy CV) with project-singleton policies for GKE, with new projects unable to enable it after April 15, 2024, and existing projects losing monitoring capabilities after May 1, 2025.\u003c/p\u003e\n"],["\u003cp\u003eContinuous validation (CV) with check-based platform policies is the replacement for legacy CV, allowing for monitoring of container image metadata and offering checks such as vulnerability, Sigstore, SLSA, and trusted directory checks.\u003c/p\u003e\n"],["\u003cp\u003eMigrating from a legacy CV project-singleton policy to a check-based platform policy involves creating a corresponding check-based policy with appropriate \u003ccode\u003echeckSet\u003c/code\u003e configurations.\u003c/p\u003e\n"],["\u003cp\u003eUnlike legacy CV policies, check-based platform policies are scoped to a GKE cluster, allowing the same policy to be applied to multiple clusters.\u003c/p\u003e\n"],["\u003cp\u003eTo use CV with check-based policies, the cluster's Binary Authorization must be configured during the cluster creation or update process.\u003c/p\u003e\n"]]],[],null,["# Legacy continuous validation deprecation and shutdown\n\nThe\n[Google Cloud Platform Terms of Service (section \"Discontinuation of Services\")](/terms)\ndefines the deprecation policy that applies to Binary Authorization.\nThe [deprecation policy](/terms/deprecation) only applies to the services,\nfeatures, or products listed therein.\n\n\nAfter a service, feature, or product is officially\ndeprecated, it continues to be available for at least the period of time defined in the\nTerms of Service. After this period of time, the service is scheduled for shutdown.\n\nBinary Authorization is ending support for legacy continuous validation (legacy CV)\nwith project-singleton policies for GKE.\n\n- As of April 15, 2024, you can't enable legacy CV for Google Kubernetes Engine (GKE) on new projects.\n- Legacy CV will continue monitoring your GKE Pods through project-singleton policies for existing projects for which it is already enabled until May 1, 2025. After May 1, 2025, legacy CV will no longer monitor your Pods, and Cloud Logging entries will no longer be produced for Pod images that don't conform to the project-singleton Binary Authorization policy.\n\nReplacement: Continuous validation (CV) with check-based platform policies\n--------------------------------------------------------------------------\n\nMonitor your Pods using [continuous validation (CV) with check-based platform policies](/binary-authorization/docs/overview-cv).\n\nIn addition to support for attestations, check-based platform policies let you\nmonitor the metadata of container images associated with your Pods to help you\nmitigate potential security issues. CV check-based policies\nprovide checks that include the following:\n\n- [Vulnerability check](/binary-authorization/docs/cv-vulnerability-check): The image is checked for security vulnerabilities that are at a level of severity that you define.\n- [Sigstore check](/binary-authorization/docs/cv-sigstore-check): The image has attestations that are signed by sigstore.\n- [SLSA check](/binary-authorization/docs/cv-slsa-check): The image was built from source in a trusted directory and by a trusted builder.\n- [Trusted directory check](/binary-authorization/docs/cv-trusted-directory-check): The image must reside in a trusted directory within a trusted image repository.\n\nLike legacy continuous validation, CV with check-based policies also logs\nPods with non-conformant images to Logging.\n\nIf you use legacy continuous validation (legacy CV), see [Migration](#migration).\n\nFor more information on how to use CV with check-based platform policies, see\n[Continuous validation overview](/binary-authorization/docs/overview-cv).\n\nMigration\n---------\n\nTo migrate from a legacy CV project-singleton policy to an\nequivalent check-based platform policy, do the following:\n\n- For an `ALWAYS_ALLOW` project-singleton policy, create a check-based platform policy without any `checkSet` block.\n- For an `ALWAYS_DENY` project-singleton policy, create a check-based platform policy with a single `checkSet` block that has an `alwaysDeny` check.\n- For a project-singleton policy that requires attestations, create a single check-based policy, and for each attestor in the project-singleton policy, add one [SimpleSigningAttestationCheck](/binary-authorization/docs/overview-cv#simple-signing-check) to the check-based policy. By using the same key pair, the check continues to work with your existing attestations, and logs only Pod images that don't have valid attestations.\n\nCheck-based platform policies are scoped to a GKE cluster, rather\nthan a Google Cloud project. After you create a check-based platform\npolicy, you can apply that policy to one or more clusters.\n\nTo enable CV with check-based platform policies on a cluster,\nthe cluster's Binary Authorization settings must be [configured](/binary-authorization/docs/creating-cluster#console)\nduring the cluster creation or update process."]]
