プラットフォーム ポリシーを管理する
このセクションでは、CV プラットフォーム ポリシーの管理方法について説明します。
プラットフォーム ポリシーを作成する
このセクションでは、プラットフォーム ポリシーの作成方法について説明します。
後述のコマンドデータを使用する前に、次のように置き換えます。
- POLICY_ID: 選択したプラットフォーム ポリシー ID。ポリシーが別のプロジェクトにある場合、完全なリソース名
projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
を使用できます。 - POLICY_PATH: ポリシー ファイルのパス。
- POLICY_PROJECT_ID: ポリシー プロジェクト ID。
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud beta container binauthz policy create POLICY_ID \ --platform=gke \ --policy-file=POLICY_PATH \ --project=POLICY_PROJECT_ID
Windows(PowerShell)
gcloud beta container binauthz policy create POLICY_ID ` --platform=gke ` --policy-file=POLICY_PATH ` --project=POLICY_PROJECT_ID
Windows(cmd.exe)
gcloud beta container binauthz policy create POLICY_ID ^ --platform=gke ^ --policy-file=POLICY_PATH ^ --project=POLICY_PROJECT_ID
CV プラットフォーム ポリシーを一覧表示する
このセクションでは、プラットフォーム ポリシーを一覧表示する方法について説明します。
後述のコマンドデータを使用する前に、次のように置き換えます。
POLICY_PROJECT_ID
: 一覧表示するポリシーを含むプロジェクトの ID
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud beta container binauthz policy list gke \ --project=POLICY_PROJECT_ID
Windows(PowerShell)
gcloud beta container binauthz policy list gke ` --project=POLICY_PROJECT_ID
Windows(cmd.exe)
gcloud beta container binauthz policy list gke ^ --project=POLICY_PROJECT_ID
CV プラットフォーム ポリシーの説明を取得する
このセクションでは、プラットフォーム ポリシー プロジェクトの説明を取得する方法について説明します。
後述のコマンドデータを使用する前に、次のように置き換えます。
POLICY_PROJECT_ID
: ポリシーが含まれているプロジェクトの ID。POLICY_ID
: プラットフォーム ポリシー ID。ポリシーが別のプロジェクトにある場合、完全なリソース名projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
を使用できます。
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud beta container binauthz policy describe POLICY_ID \ --project=POLICY_PROJECT_ID \ --platform=gke
Windows(PowerShell)
gcloud beta container binauthz policy describe POLICY_ID ` --project=POLICY_PROJECT_ID ` --platform=gke
Windows(cmd.exe)
gcloud beta container binauthz policy describe POLICY_ID ^ --project=POLICY_PROJECT_ID ^ --platform=gke
CV プラットフォーム ポリシーを更新する
このセクションでは、プラットフォーム ポリシーの更新方法について説明します。
後述のコマンドデータを使用する前に、次のように置き換えます。
- POLICY_ID: プラットフォーム ポリシー ID。ポリシーが別のプロジェクトにある場合、完全なリソース名
projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
を使用できます。 - POLICY_PROJECT_ID: ポリシー プロジェクト ID
- POLICY_PATH: 更新されたポリシー ファイルのパス
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud beta container binauthz policy update POLICY_ID \ --policy-file=POLICY_PATH \ --platform=gke \ --project=POLICY_PROJECT_ID
Windows(PowerShell)
gcloud beta container binauthz policy update POLICY_ID ` --policy-file=POLICY_PATH ` --platform=gke ` --project=POLICY_PROJECT_ID
Windows(cmd.exe)
gcloud beta container binauthz policy update POLICY_ID ^ --policy-file=POLICY_PATH ^ --platform=gke ^ --project=POLICY_PROJECT_ID
CV プラットフォーム ポリシーを削除する
このセクションでは、プラットフォーム ポリシーの削除方法について説明します。
後述のコマンドデータを使用する前に、次のように置き換えます。
POLICY_ID
: ローカル プラットフォーム ポリシーの ID。ポリシーが別のプロジェクトにある場合、完全なリソース名projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
を使用できます。- POLICY_PROJECT_ID: ポリシー プロジェクト ID
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud beta container binauthz policy delete POLICY_ID \ --platform=gke \ --project=POLICY_PROJECT_ID
Windows(PowerShell)
gcloud beta container binauthz policy delete POLICY_ID ` --platform=gke ` --project=POLICY_PROJECT_ID
Windows(cmd.exe)
gcloud beta container binauthz policy delete POLICY_ID ^ --platform=gke ^ --project=POLICY_PROJECT_ID
CV ポリシーを使用して GKE クラスタを管理する
このセクションでは、GKE のプラットフォーム ポリシーを使用して CV を有効にする方法について説明します。
CV モニタリングのみを使用するようにクラスタを更新する
このセクションでは、CV プラットフォームのポリシーベースのモニタリングのみを使用するようにクラスタを更新する方法について説明します。このクラスタですでにプロジェクト シングルトン ポリシーの適用が有効になっている場合、このコマンドを実行すると、このポリシーが無効になります。代わりに、適用と CV モニタリングを有効にしてクラスタを更新することを検討してください。
後述のコマンドデータを使用する前に、次のように置き換えます。
CLUSTER_NAME
: クラスタ名LOCATION
: ロケーション(例:us-central1
、asia-south1
)POLICY_PROJECT_ID
: ポリシーが保存されているプロジェクトの IDPOLICY_ID
: ポリシー IDCLUSTER_PROJECT_ID
: クラスタ プロジェクト ID
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows(PowerShell)
gcloud beta container clusters update CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows(cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
CV モニタリングで Binary Authorization の適用を使用するようにクラスタを更新する
このセクションでは、プロジェクト シングルトン ポリシーの適用と CV プラットフォームのポリシーベースのモニタリングの両方を使用するようにクラスタを更新する方法について説明します。
後述のコマンドデータを使用する前に、次のように置き換えます。
CLUSTER_NAME
: クラスタ名LOCATION
: ロケーション(例:us-central1
、asia-south1
)POLICY_PROJECT_ID
: ポリシーが保存されているプロジェクトの IDPOLICY_ID
: ポリシー IDCLUSTER_PROJECT_ID
: クラスタ プロジェクト ID
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows(PowerShell)
gcloud beta container clusters update CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows(cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
CV を無効にする
Binary Authorization と適用のプロジェクト シングルトン ポリシーも使用する GKE クラスタで CV を有効にできます。
このような状況で CV のみを無効にするには、次のコマンドを実行します。
後述のコマンドデータを使用する前に、次のように置き換えます。
CLUSTER_NAME
: クラスタ名LOCATION
: ロケーション(例:us-central1
、asia-south1
)POLICY_PROJECT_ID
: ポリシーが保存されているプロジェクトの IDPOLICY_ID
: ポリシー IDCLUSTER_PROJECT_ID
: クラスタ プロジェクト ID
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows(PowerShell)
gcloud beta container clusters update CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows(cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
次のステップ
- イメージの鮮度チェックを使用する
- シンプルな署名証明書チェックを使用する
- Sigstore 署名チェックを使用する
- SLSA チェックを使用する
- 信頼できるディレクトリのチェックを使用する
- 脆弱性チェックを使用する
- CV ログを表示する