Gestire i criteri della piattaforma
Questa sezione descrive come gestire i norme della piattaforma CV.
Crea un criterio della piattaforma
Questa sezione mostra come creare un criterio relativo alla piattaforma.
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
- POLICY_ID: un ID criterio della piattaforma scelto da te. Se il criterio si trova in un altro progetto, puoi utilizzare il nome completo della risorsa:
projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID. - POLICY_PATH: un percorso al file delle norme.
- POLICY_PROJECT_ID: l'ID progetto del criterio.
Esegui la persone che seguo :
Linux, macOS o Cloud Shell
gcloud beta container binauthz policy create POLICY_ID \ --platform=gke \ --policy-file=POLICY_PATH \ --project=POLICY_PROJECT_ID
Windows (PowerShell)
gcloud beta container binauthz policy create POLICY_ID ` --platform=gke ` --policy-file=POLICY_PATH ` --project=POLICY_PROJECT_ID
Windows (cmd.exe)
gcloud beta container binauthz policy create POLICY_ID ^ --platform=gke ^ --policy-file=POLICY_PATH ^ --project=POLICY_PROJECT_ID
Elenca un criterio della piattaforma CV
Questa sezione mostra come elencare i criteri relativi alla piattaforma.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
POLICY_PROJECT_ID: l'ID del progetto contenente i criteri da elencare
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud beta container binauthz policy list gke \ --project=POLICY_PROJECT_ID
Windows (PowerShell)
gcloud beta container binauthz policy list gke ` --project=POLICY_PROJECT_ID
Windows (cmd.exe)
gcloud beta container binauthz policy list gke ^ --project=POLICY_PROJECT_ID
Descrivi un criterio della piattaforma CV
Questa sezione mostra come descrivere un progetto dei criteri della piattaforma.
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
POLICY_PROJECT_ID: l'ID del progetto che contiene il criterioPOLICY_ID: l'ID criterio della piattaforma. Se il criterio si trova in un altro progetto, puoi utilizzare il nome completo della risorsa:projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud beta container binauthz policy describe POLICY_ID \ --project=POLICY_PROJECT_ID \ --platform=gke
Windows (PowerShell)
gcloud beta container binauthz policy describe POLICY_ID ` --project=POLICY_PROJECT_ID ` --platform=gke
Windows (cmd.exe)
gcloud beta container binauthz policy describe POLICY_ID ^ --project=POLICY_PROJECT_ID ^ --platform=gke
Aggiorna un criterio della piattaforma CV
Questa sezione mostra come aggiornare un criterio della piattaforma.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- POLICY_ID: un ID criterio della piattaforma. Se il criterio si trova in un altro progetto, puoi utilizzare il nome completo della risorsa:
projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID. - POLICY_PROJECT_ID: l'ID progetto del criterio
- POLICY_PATH: un percorso al file delle norme aggiornato
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud beta container binauthz policy update POLICY_ID \ --policy-file=POLICY_PATH \ --platform=gke \ --project=POLICY_PROJECT_ID
Windows (PowerShell)
gcloud beta container binauthz policy update POLICY_ID ` --policy-file=POLICY_PATH ` --platform=gke ` --project=POLICY_PROJECT_ID
Windows (cmd.exe)
gcloud beta container binauthz policy update POLICY_ID ^ --policy-file=POLICY_PATH ^ --platform=gke ^ --project=POLICY_PROJECT_ID
Elimina un criterio della piattaforma CV
Questa sezione spiega come eliminare un criterio della piattaforma.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
POLICY_ID: l'ID del criterio relativo alla piattaforma locale. Se il criterio si trova in un altro progetto, puoi utilizzare il nome completo della risorsa:projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.- POLICY_PROJECT_ID: l'ID progetto del criterio
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud beta container binauthz policy delete POLICY_ID \ --platform=gke \ --project=POLICY_PROJECT_ID
Windows (PowerShell)
gcloud beta container binauthz policy delete POLICY_ID ` --platform=gke ` --project=POLICY_PROJECT_ID
Windows (cmd.exe)
gcloud beta container binauthz policy delete POLICY_ID ^ --platform=gke ^ --project=POLICY_PROJECT_ID
Gestire i cluster GKE con i criteri CV
Questa sezione mostra come attivare la CV con i criteri della piattaforma per GKE.
Aggiorna il cluster in modo da utilizzare solo il monitoraggio CV
Questa sezione mostra come aggiornare un cluster in modo che utilizzi solo il monitoraggio basato su criteri della piattaforma CV. Se in questo cluster è già attivata l'applicazione dei criteri project-singleton, l'esecuzione di questo comando la disattiva. Valuta invece la possibilità di aggiornare il cluster con applicazione e CV il monitoraggio abilitato.
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
CLUSTER_NAME: il nome del clusterLOCATION: la località, ad esempious-central1oasia-south1POLICY_PROJECT_ID: l'ID del progetto in cui è archiviato il criterioPOLICY_ID: l'ID del criterioCLUSTER_PROJECT_ID: l'ID progetto del cluster
Esegui la persone che seguo :
Linux, macOS o Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters update CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
Aggiorna un cluster per utilizzare l'applicazione di Autorizzazione binaria con il monitoraggio CV
Questa sezione mostra come aggiornare un cluster in modo da utilizzare sia l'applicazione delle norme per i progetti singoli sia il monitoraggio basato sulle norme della piattaforma CV.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
CLUSTER_NAME: il nome di un clusterLOCATION: la località, ad esempious-central1oasia-south1POLICY_PROJECT_ID: l'ID del progetto in cui è archiviato il criterioPOLICY_ID: l'ID del criterioCLUSTER_PROJECT_ID: l'ID progetto del cluster
Esegui la persone che seguo :
Linux, macOS o Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters update CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
Disattiva CV
Puoi abilitare CV su un cluster GKE utilizza Autorizzazione binaria e il criterio project-singleton per l'applicazione.
In questo caso e vuoi disabilitare solo CV, esegui il comando seguente comando:
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
CLUSTER_NAME: il nome di un clusterLOCATION: la località, ad esempious-central1oasia-south1POLICY_PROJECT_ID: l'ID del progetto in cui è archiviato il criterioPOLICY_ID: l'ID del criterioCLUSTER_PROJECT_ID: l'ID progetto del cluster
Esegui la persone che seguo :
Linux, macOS o Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters update CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
Passaggi successivi
- Utilizzare il controllo dell'aggiornamento delle immagini
- Utilizzare il semplice controllo dell'attestazione della firma
- Utilizzare il controllo delle firme Sigstore
- Utilizzare il controllo SLSA
- Utilizzare il controllo della directory attendibile
- Utilizzare il controllo delle vulnerabilità
- Visualizzare i log delle conversioni