Activer le mode de simulation

Ce document explique comment activer le mode de simulation.

Lorsque vous activez le mode de simulation, l'autorisation binaire permet le déploiement de toutes les images de conteneurs, même si elles ne respectent pas la règle d'autorisation binaire. Les messages d'état relatifs à la conformité avec les règles sont consignés dans les Cloud Audit Logs. Vous pouvez consulter le journal pour déterminer si les images auraient été interdites et prendre les mesures correctives nécessaires. Lorsque la configuration de règle fonctionne comme prévu, vous pouvez désactiver le mode de simulation pour activer l'application de l'autorisation binaire, après quoi il est impossible de déployer des images qui ne respectent pas la règle.

Vous pouvez définir le mode de simulation dans la règle par défaut ou dans une règle spécifique.

Avant de commencer

Pour utiliser le mode de simulation, configurez l'autorisation binaire pour votre plate-forme.

Activer le mode de simulation

Pour activer le mode de simulation, procédez comme suit :

Console

  1. Accédez à la page "Autorisation binaire" dans Google Cloud Console.

    Accéder à la page "Autorisation binaire"

  2. Cliquez sur Modifier la règle.

  3. Dans Règle par défaut ou une règle spécifique, sélectionnez Mode de simulation.

  4. Cliquez sur Save Policy (Enregistrer la stratégie).

gcloud

  1. Exportez la stratégie d'autorisation binaire dans un fichier YAML :

    gcloud container binauthz policy export  > /tmp/policy.yaml
    
  2. Dans un éditeur de texte, définissez enforcementMode sur DRYRUN_AUDIT_LOG_ONLY et enregistrez le fichier.

  3. Pour mettre à jour la stratégie, importez le fichier en exécutant la commande suivante :

    gcloud container binauthz policy import /tmp/policy.yaml
    

Pour tester le mode de simulation, déployez des images qui ne respectent pas la stratégie, puis affichez les événements en mode de simulation à partir de l'autorisation binaire pour GKE, Cloud Run ou Google Distributed Cloud.

Désactiver le mode de simulation

Pour désactiver le mode de simulation, mettez à jour votre stratégie comme suit :

Console

  1. Accédez à la page "Autorisation binaire" dans Google Cloud Console.

    Accéder à la page "Autorisation binaire"

  2. Cliquez sur Modifier la règle.

  3. Dans Règle par défaut ou dans une règle spécifique, sélectionnez Mode de simulation.

  4. Cliquez sur Save Policy (Enregistrer la stratégie).

gcloud

  1. Exportez la stratégie d'autorisation binaire :

    gcloud container binauthz policy export  > /tmp/policy.yaml
    
  2. Dans un éditeur de texte, définissez enforcementMode sur ENFORCED_BLOCK_AND_AUDIT_LOG et enregistrez le fichier.

  3. Pour mettre à jour la stratégie, importez le fichier en exécutant la commande suivante :

    gcloud container binauthz policy import /tmp/policy.yaml
    

Étape suivante

  • Affichez les événements en mode simulation de l'autorisation binaire pour GKE dans Cloud Audit Logs.
  • Affichez les événements en mode simulation de l'autorisation binaire pour Cloud Run dans Cloud Audit Logs.
  • Affichez les événements en mode simulation de l'autorisation binaire pour Distributed Cloud dans Cloud Audit Logs.