Criteri di esempio

Questa pagina contiene policies di esempio per Autorizzazione binaria specificati in formato YAML. Per istruzioni sulla configurazione dei criteri in Autorizzazione binaria, consulta Configurare un criterio utilizzando Google Cloud CLI o Configurare un criterio utilizzando la console Google Cloud.

Consenti tutti i deployment

L'esempio seguente mostra come consentire il deployment di tutte le immagini container senza vincoli.

name: projects/example-project/policy
defaultAdmissionRule:
  evaluationMode: ALWAYS_ALLOW
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG

In questo caso, la regola predefinita ha un valore evaluationMode pari a ALWAYS_ALLOW, che consente ad Autorizzazione binaria di consentire il deployment di tutte le immagini container. Il valore predefinito enforcementMode è impostato su ENFORCED_BLOCK_AND_AUDIT_LOG, ma poiché tutti i deployment sono consentiti, questa azione non viene mai eseguita.

Bloccare (quasi) tutti i deployment

L'esempio seguente mostra come bloccare il deployment di tutte le immagini contenitore, consentendo al contempo le immagini di sistema gestite da Google. Queste immagini container sono necessarie per l'avvio corretto della maggior parte dei cluster Google Kubernetes Engine (GKE).

name: projects/example-project/policy
globalPolicyEvaluationMode: ENABLE
defaultAdmissionRule:
  evaluationMode: ALWAYS_DENY
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG

Qui, globalPolicyEvaluationMode è attivato in modo che le immagini richieste da GKE non vengano bloccate dall'applicazione dei criteri. La regola predefinita ha un valore evaluationMode pari a ALWAYS_DENY, che fa sì che l'Autorizzazione binaria neghi il deployment di tutte le immagini container. enforcementMode è impostato su ENFORCED_BLOCK_AND_AUDIT_LOG, il che fa sì che l'autorizzazione binaria blocchi il deployment e scriva nel log di controllo.

Richiedi agli attestatori di firmare prima del deployment

L'esempio seguente mostra come richiedere agli attestatori di autorizzare una release prima che sia possibile eseguire il deployment di un'immagine del contenitore. Il deployment viene bloccato se non tutti gli attestatori hanno firmato.

name: projects/example-project/policy
globalPolicyEvaluationMode: ENABLE
defaultAdmissionRule:
  evaluationMode: REQUIRE_ATTESTATION
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
  requireAttestationsBy:
  - projects/example-project/attestors/secure-build

In questo caso, la regola predefinita ha un valore evaluationMode di REQUIRE_ATTESTATION, che consente ad Autorizzazione binaria di consentire il deployment solo delle immagini che sono state autorizzate dagli attestatori richiesti in requireAttestationsBy.

Consentire i deployment in modalità di prova

La modalità di prova è una modalità di applicazione forzata in un criterio che consente di eseguire il deployment di immagini non conformi, ma scrive i dettagli sulla violazione del criterio e sul deployment nell'audit log. La modalità di prova ti consente di testare un criterio nell'ambiente di produzione prima che venga applicato.

L'esempio seguente mostra come consentire il deployment di tutte le immagini non conformi in modalità di prova.

name: projects/example-project/policy
globalPolicyEvaluationMode: ENABLE
defaultAdmissionRule:
  evaluationMode: REQUIRE_ATTESTATION
  enforcementMode: DRYRUN_AUDIT_LOG_ONLY
  requireAttestationsBy:
  - projects/example-project/attestors/secure-build

In questo caso, la regola predefinita ha un valore enforcementMode di DRYRUN_AUDIT_LOG_ONLY, che consente di eseguire il deployment di immagini non autorizzate dall'attestatore specificato, ma scrive informazioni sul deployment non conforme nel log di controllo.

Utilizzare una regola specifica per il cluster

Gli esempi seguenti mostrano una regola specifica per il cluster che consente di eseguire il deployment solo delle immagini container autorizzate dagli attestatori specificati:

name: projects/example-project/policy
globalPolicyEvaluationMode: ENABLE
defaultAdmissionRule:
  evaluationMode: ALWAYS_DENY
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
clusterAdmissionRules:
  us-east1-a.prod-cluster:
    evaluationMode: REQUIRE_ATTESTATION
    enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
    requireAttestationsBy:
    - projects/example-project/attestors/secure-build
    - projects/example-project/attestors/prod-qualified

In questo caso, la regola specifica del cluster si applica solo alle immagini container di cui è stato eseguito il deployment in us-east1-a.prod-cluster. La regola richiede l'attestazione di due attestatori prima che sia possibile eseguire il deployment di un'immagine.

Aggiungere immagini esenti

L'esempio seguente mostra come aggiungere percorsi aggiuntivi in Container Registry o in un altro registry all'elenco di immagini esenti dal criterio:

name: projects/example-project/policy
globalPolicyEvaluationMode: ENABLE
admissionWhitelistPatterns:
- namePattern: gcr.io/example-project-1/*
- namePattern: gcr.io/example-project-2/my-app
defaultAdmissionRule:
  evaluationMode: ALWAYS_DENY
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG

Qui, i pattern di corrispondenza per altre immagini esenti sono gcr.io/example-project-1/* e gcr.io/example-project-2/my-app.