Dopo il ritiro ufficiale di un servizio, una funzionalità o un prodotto, questo continua a essere disponibile per almeno il periodo di tempo definito nei Termini di servizio. Al termine di questo periodo di tempo, il servizio verrà chiuso.
Autorizzazione binaria non supporta più la convalida continua legacy (CV legacy)
con le policy singleton del progetto per GKE.
A partire dal 15 aprile 2024, non puoi abilitare la CV legacy per
Google Kubernetes Engine (GKE) sui nuovi progetti.
Legacy CV continuerà a monitorare i tuoi
pod GKE tramite le norme singleton del progetto per i progetti
esistenti per i quali è già abilitato fino al 1° maggio 2025. Dopo il 1° maggio 2025,
la verifica della vulnerabilità legacy non monitorerà più i tuoi pod e
le voci di Cloud Logging non verranno più generate per le immagini dei pod che non
sono conformi alle norme di Autorizzazione binariaion per il progetto singleton.
Sostituzione: convalida continua (CV) con norme della piattaforma basate su controlli
Oltre al supporto per le attestazioni, i criteri della piattaforma basati su controlli ti consentono di monitorare i metadati delle immagini container associate ai tuoi pod per aiutarti a mitigare potenziali problemi di sicurezza. Le norme basate sul controllo del curriculum vitae
forniscono controlli che includono quanto segue:
Controllo delle vulnerabilità: l'immagine viene controllata per rilevare vulnerabilità di sicurezza con un livello di gravità definito dall'utente.
Come la convalida continua legacy, la convalida continua con criteri basati su controlli registra anche i pod con immagini non conformi in Logging.
Se utilizzi la convalida continua precedente, consulta la sezione Migrazione.
Per saperne di più su come utilizzare la convalida continua con le norme della piattaforma basate su controlli, consulta la
Panoramica della convalida continua.
Migrazione
Per eseguire la migrazione da un criterio project-singleton legacy di CV a un criterio della piattaforma basato su controlli equivalente, segui questi passaggi:
Per un criterio ALWAYS_ALLOW singleton del progetto, crea un criterio della piattaforma basato su controlli senza alcun blocco checkSet.
Per una policy project-singleton ALWAYS_DENY, crea una policy della piattaforma basata su controlli con un singolo blocco checkSet che abbia un controllo alwaysDeny.
Per una norma singleton del progetto che richiede attestazioni, crea una norma basata su un singolo controllo e, per ogni attestatore nella norma singleton del progetto, aggiungi un SimpleSigningAttestationCheck alla norma basata sul controllo. Utilizzando la stessa coppia di chiavi, il controllo continua a funzionare con le attestazioni esistenti e registra solo le immagini dei pod che non hanno attestazioni valide.
Le policy della piattaforma basate su controlli sono limitate a un cluster GKE, anziché a un progetto. Google Cloud Dopo aver creato una norma della piattaforma basata su controlli, puoi applicarla a uno o più cluster.
Per abilitare la verifica della conformità con le policy della piattaforma basate su controlli su un cluster,
le impostazioni di Autorizzazione binaria del cluster devono essere configurate
durante il processo di creazione o aggiornamento del cluster.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[[["\u003cp\u003eBinary Authorization is discontinuing support for legacy continuous validation (legacy CV) with project-singleton policies for GKE, with new projects unable to enable it after April 15, 2024, and existing projects losing monitoring capabilities after May 1, 2025.\u003c/p\u003e\n"],["\u003cp\u003eContinuous validation (CV) with check-based platform policies is the replacement for legacy CV, allowing for monitoring of container image metadata and offering checks such as vulnerability, Sigstore, SLSA, and trusted directory checks.\u003c/p\u003e\n"],["\u003cp\u003eMigrating from a legacy CV project-singleton policy to a check-based platform policy involves creating a corresponding check-based policy with appropriate \u003ccode\u003echeckSet\u003c/code\u003e configurations.\u003c/p\u003e\n"],["\u003cp\u003eUnlike legacy CV policies, check-based platform policies are scoped to a GKE cluster, allowing the same policy to be applied to multiple clusters.\u003c/p\u003e\n"],["\u003cp\u003eTo use CV with check-based policies, the cluster's Binary Authorization must be configured during the cluster creation or update process.\u003c/p\u003e\n"]]],[],null,["# Legacy continuous validation deprecation and shutdown\n\nThe\n[Google Cloud Platform Terms of Service (section \"Discontinuation of Services\")](/terms)\ndefines the deprecation policy that applies to Binary Authorization.\nThe [deprecation policy](/terms/deprecation) only applies to the services,\nfeatures, or products listed therein.\n\n\nAfter a service, feature, or product is officially\ndeprecated, it continues to be available for at least the period of time defined in the\nTerms of Service. After this period of time, the service is scheduled for shutdown.\n\nBinary Authorization is ending support for legacy continuous validation (legacy CV)\nwith project-singleton policies for GKE.\n\n- As of April 15, 2024, you can't enable legacy CV for Google Kubernetes Engine (GKE) on new projects.\n- Legacy CV will continue monitoring your GKE Pods through project-singleton policies for existing projects for which it is already enabled until May 1, 2025. After May 1, 2025, legacy CV will no longer monitor your Pods, and Cloud Logging entries will no longer be produced for Pod images that don't conform to the project-singleton Binary Authorization policy.\n\nReplacement: Continuous validation (CV) with check-based platform policies\n--------------------------------------------------------------------------\n\nMonitor your Pods using [continuous validation (CV) with check-based platform policies](/binary-authorization/docs/overview-cv).\n\nIn addition to support for attestations, check-based platform policies let you\nmonitor the metadata of container images associated with your Pods to help you\nmitigate potential security issues. CV check-based policies\nprovide checks that include the following:\n\n- [Vulnerability check](/binary-authorization/docs/cv-vulnerability-check): The image is checked for security vulnerabilities that are at a level of severity that you define.\n- [Sigstore check](/binary-authorization/docs/cv-sigstore-check): The image has attestations that are signed by sigstore.\n- [SLSA check](/binary-authorization/docs/cv-slsa-check): The image was built from source in a trusted directory and by a trusted builder.\n- [Trusted directory check](/binary-authorization/docs/cv-trusted-directory-check): The image must reside in a trusted directory within a trusted image repository.\n\nLike legacy continuous validation, CV with check-based policies also logs\nPods with non-conformant images to Logging.\n\nIf you use legacy continuous validation (legacy CV), see [Migration](#migration).\n\nFor more information on how to use CV with check-based platform policies, see\n[Continuous validation overview](/binary-authorization/docs/overview-cv).\n\nMigration\n---------\n\nTo migrate from a legacy CV project-singleton policy to an\nequivalent check-based platform policy, do the following:\n\n- For an `ALWAYS_ALLOW` project-singleton policy, create a check-based platform policy without any `checkSet` block.\n- For an `ALWAYS_DENY` project-singleton policy, create a check-based platform policy with a single `checkSet` block that has an `alwaysDeny` check.\n- For a project-singleton policy that requires attestations, create a single check-based policy, and for each attestor in the project-singleton policy, add one [SimpleSigningAttestationCheck](/binary-authorization/docs/overview-cv#simple-signing-check) to the check-based policy. By using the same key pair, the check continues to work with your existing attestations, and logs only Pod images that don't have valid attestations.\n\nCheck-based platform policies are scoped to a GKE cluster, rather\nthan a Google Cloud project. After you create a check-based platform\npolicy, you can apply that policy to one or more clusters.\n\nTo enable CV with check-based platform policies on a cluster,\nthe cluster's Binary Authorization settings must be [configured](/binary-authorization/docs/creating-cluster#console)\nduring the cluster creation or update process."]]
