Depois que um serviço, recurso ou produto é oficialmente
suspenso, ele continua disponível pelo menos durante o período definido nos
Termos de Serviço. Após esse período, o serviço será encerrado.
A autorização binária está encerrando o suporte à validação contínua legada (CV legada)
com políticas de Singleton de projeto para o GKE.
Desde 15 de abril de 2024, não é mais possível ativar a CV legada para o
Google Kubernetes Engine (GKE) em novos projetos.
A CV legada continuará monitorando seus
pods do GKE por meio de políticas de Singleton para projetos atuais
em que ela já está ativada até 1° de maio de 2025. Após essa data, ela não vai mais monitorar seus pods, e as entradas do Cloud Logging
não serão mais produzidas para imagens de pod que não estejam em conformidade
com a política da autorização binária de Singleton de projeto.
Substituição: validação contínua (CV) com políticas de plataforma baseadas em verificação
Além do suporte a atestados, as políticas de plataforma baseadas em
verificação permitem monitorar os metadados de imagens de contêiner associadas aos seus pods a fim de ajudar a
reduzir possíveis problemas de segurança. As políticas baseadas em verificação da
CV fornecem verificações que incluem o seguinte:
Verificação de vulnerabilidades: a
imagem é verificada quanto a vulnerabilidades de segurança que estão em um nível de gravidade
definido por você.
Assim como a validação contínua legada, a CV com políticas baseadas em verificação também registra
pods com imagens sem conformidade no Logging.
Se você usar a validação contínua legada (CV legada), consulte Migração.
Para mais informações sobre como usar a CV com políticas de plataforma baseadas em verificação, consulte
Visão geral da validação contínua.
Migração
Para migrar de uma política de Singleton de projeto da CV legada para uma
política de plataforma baseada em verificação equivalente, faça o seguinte:
Para uma política de Singleton de projeto ALWAYS_ALLOW, crie uma política de plataforma
baseada em verificação sem nenhum bloco de checkSet.
Para uma política de Singleton de projeto ALWAYS_DENY, crie uma política de plataforma
baseada em verificação com um único bloco checkSet que tenha uma verificação alwaysDeny.
Para uma política de Singleton de projeto que exija atestados, crie uma
única política baseada em verificação e, para cada atestador na política de Singleton de projeto, adicione uma SimpleSigningAttestationCheck
à política baseada em verificação. Ao usar o mesmo par de chaves, a verificação continua
funcionando com os atestados atuais e registra apenas imagens de pod que não têm
atestados válidos.
As políticas de plataforma baseadas em verificação têm escopo para um cluster do GKE, em vez
de para um Google Cloud projeto. Depois de criar uma política de plataforma
baseada em verificação, é possível aplicá-la a um ou mais clusters.
Para ativar a CV com políticas de plataforma baseadas em verificação em um cluster,
as configurações de autorização binária dele precisam ser definidas
durante o processo de criação ou atualização.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-04 UTC."],[[["\u003cp\u003eBinary Authorization is discontinuing support for legacy continuous validation (legacy CV) with project-singleton policies for GKE, with new projects unable to enable it after April 15, 2024, and existing projects losing monitoring capabilities after May 1, 2025.\u003c/p\u003e\n"],["\u003cp\u003eContinuous validation (CV) with check-based platform policies is the replacement for legacy CV, allowing for monitoring of container image metadata and offering checks such as vulnerability, Sigstore, SLSA, and trusted directory checks.\u003c/p\u003e\n"],["\u003cp\u003eMigrating from a legacy CV project-singleton policy to a check-based platform policy involves creating a corresponding check-based policy with appropriate \u003ccode\u003echeckSet\u003c/code\u003e configurations.\u003c/p\u003e\n"],["\u003cp\u003eUnlike legacy CV policies, check-based platform policies are scoped to a GKE cluster, allowing the same policy to be applied to multiple clusters.\u003c/p\u003e\n"],["\u003cp\u003eTo use CV with check-based policies, the cluster's Binary Authorization must be configured during the cluster creation or update process.\u003c/p\u003e\n"]]],[],null,["# Legacy continuous validation deprecation and shutdown\n\nThe\n[Google Cloud Platform Terms of Service (section \"Discontinuation of Services\")](/terms)\ndefines the deprecation policy that applies to Binary Authorization.\nThe [deprecation policy](/terms/deprecation) only applies to the services,\nfeatures, or products listed therein.\n\n\nAfter a service, feature, or product is officially\ndeprecated, it continues to be available for at least the period of time defined in the\nTerms of Service. After this period of time, the service is scheduled for shutdown.\n\nBinary Authorization is ending support for legacy continuous validation (legacy CV)\nwith project-singleton policies for GKE.\n\n- As of April 15, 2024, you can't enable legacy CV for Google Kubernetes Engine (GKE) on new projects.\n- Legacy CV will continue monitoring your GKE Pods through project-singleton policies for existing projects for which it is already enabled until May 1, 2025. After May 1, 2025, legacy CV will no longer monitor your Pods, and Cloud Logging entries will no longer be produced for Pod images that don't conform to the project-singleton Binary Authorization policy.\n\nReplacement: Continuous validation (CV) with check-based platform policies\n--------------------------------------------------------------------------\n\nMonitor your Pods using [continuous validation (CV) with check-based platform policies](/binary-authorization/docs/overview-cv).\n\nIn addition to support for attestations, check-based platform policies let you\nmonitor the metadata of container images associated with your Pods to help you\nmitigate potential security issues. CV check-based policies\nprovide checks that include the following:\n\n- [Vulnerability check](/binary-authorization/docs/cv-vulnerability-check): The image is checked for security vulnerabilities that are at a level of severity that you define.\n- [Sigstore check](/binary-authorization/docs/cv-sigstore-check): The image has attestations that are signed by sigstore.\n- [SLSA check](/binary-authorization/docs/cv-slsa-check): The image was built from source in a trusted directory and by a trusted builder.\n- [Trusted directory check](/binary-authorization/docs/cv-trusted-directory-check): The image must reside in a trusted directory within a trusted image repository.\n\nLike legacy continuous validation, CV with check-based policies also logs\nPods with non-conformant images to Logging.\n\nIf you use legacy continuous validation (legacy CV), see [Migration](#migration).\n\nFor more information on how to use CV with check-based platform policies, see\n[Continuous validation overview](/binary-authorization/docs/overview-cv).\n\nMigration\n---------\n\nTo migrate from a legacy CV project-singleton policy to an\nequivalent check-based platform policy, do the following:\n\n- For an `ALWAYS_ALLOW` project-singleton policy, create a check-based platform policy without any `checkSet` block.\n- For an `ALWAYS_DENY` project-singleton policy, create a check-based platform policy with a single `checkSet` block that has an `alwaysDeny` check.\n- For a project-singleton policy that requires attestations, create a single check-based policy, and for each attestor in the project-singleton policy, add one [SimpleSigningAttestationCheck](/binary-authorization/docs/overview-cv#simple-signing-check) to the check-based policy. By using the same key pair, the check continues to work with your existing attestations, and logs only Pod images that don't have valid attestations.\n\nCheck-based platform policies are scoped to a GKE cluster, rather\nthan a Google Cloud project. After you create a check-based platform\npolicy, you can apply that policy to one or more clusters.\n\nTo enable CV with check-based platform policies on a cluster,\nthe cluster's Binary Authorization settings must be [configured](/binary-authorization/docs/creating-cluster#console)\nduring the cluster creation or update process."]]
