Gestire le norme della piattaforma CV

Gestisci i criteri della piattaforma

Questa sezione descrive come gestire i criteri della piattaforma CV.

Crea un criterio della piattaforma

Questa sezione mostra come creare un criterio relativo alla piattaforma.

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

• POLICY_ID: un ID criterio della piattaforma a tua scelta. Se il criterio si trova in un altro progetto, puoi utilizzare il nome completo della risorsa: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
• POLICY_PATH: un percorso al file dei criteri.
• POLICY_PROJECT_ID: l'ID progetto del criterio.

Esegui questo comando:

gcloud beta container binauthz policy create POLICY_ID \
    --platform=gke \
    --policy-file=POLICY_PATH \
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy create POLICY_ID `
    --platform=gke `
    --policy-file=POLICY_PATH `
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy create POLICY_ID ^
    --platform=gke ^
    --policy-file=POLICY_PATH ^
    --project=POLICY_PROJECT_ID

Elenca un criterio della piattaforma CV

Questa sezione mostra come elencare i criteri della piattaforma.

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

• POLICY_PROJECT_ID: l'ID del progetto che contiene i criteri da elencare

Esegui questo comando:

gcloud beta container binauthz policy list gke \
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy list gke `
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy list gke ^
    --project=POLICY_PROJECT_ID

Descrivere le norme relative alla piattaforma CV

Questa sezione mostra come descrivere un progetto dei criteri della piattaforma.

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

• POLICY_PROJECT_ID: l'ID del progetto che contiene il criterio
• POLICY_ID: l'ID del criterio della piattaforma. Se il criterio si trova in un altro progetto, puoi utilizzare il nome completo della risorsa: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.

Esegui questo comando:

gcloud beta container binauthz policy describe POLICY_ID \
    --project=POLICY_PROJECT_ID \
    --platform=gke

gcloud beta container binauthz policy describe POLICY_ID `
    --project=POLICY_PROJECT_ID `
    --platform=gke

gcloud beta container binauthz policy describe POLICY_ID ^
    --project=POLICY_PROJECT_ID ^
    --platform=gke

Aggiorna i criteri della piattaforma CV

Questa sezione mostra come aggiornare un criterio relativo alla piattaforma.

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

• POLICY_ID: un ID criterio della piattaforma. Se il criterio si trova in un altro progetto, puoi utilizzare il nome completo della risorsa: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
• POLICY_PROJECT_ID: l'ID progetto del criterio
• POLICY_PATH: un percorso al file dei criteri aggiornato

Esegui questo comando:

gcloud beta container binauthz policy update POLICY_ID \
  --policy-file=POLICY_PATH \
  --platform=gke \
  --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy update POLICY_ID `
  --policy-file=POLICY_PATH `
  --platform=gke `
  --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy update POLICY_ID ^
  --policy-file=POLICY_PATH ^
  --platform=gke ^
  --project=POLICY_PROJECT_ID

Elimina un criterio della piattaforma CV

Questa sezione mostra come eliminare un criterio relativo alla piattaforma.

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

• POLICY_ID: l'ID del criterio della piattaforma locale. Se il criterio si trova in un altro progetto, puoi utilizzare il nome completo della risorsa: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
• POLICY_PROJECT_ID: l'ID progetto del criterio

Esegui questo comando:

gcloud beta container binauthz policy delete POLICY_ID  \
    --platform=gke \
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy delete POLICY_ID  `
    --platform=gke `
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy delete POLICY_ID  ^
    --platform=gke ^
    --project=POLICY_PROJECT_ID

Gestisci i cluster GKE con criteri di CV

Questa sezione mostra come abilitare il CV con i criteri della piattaforma per GKE.

Aggiorna il cluster per utilizzare solo il monitoraggio CV

Questa sezione mostra come aggiornare un cluster per utilizzare solo il monitoraggio basato su criteri della piattaforma CV. Se per questo cluster è già abilitata l'applicazione dei criteri singleton per progetto, l'esecuzione di questo comando la disattiva. Valuta invece la possibilità di aggiornare il cluster con applicazione e monitoraggio del CV abilitati.

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

• CLUSTER_NAME: nome del cluster
• LOCATION: la località, ad esempio us-central1 o asia-south1
• POLICY_PROJECT_ID: l'ID del progetto in cui è archiviato il criterio
• POLICY_ID: l'ID criterio
• CLUSTER_PROJECT_ID: l'ID progetto del cluster

Esegui questo comando:

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Aggiorna un cluster per utilizzare l'applicazione di Autorizzazione binaria con il monitoraggio CV

Questa sezione mostra come aggiornare un cluster per utilizzare sia l'applicazione forzata dei criteri a livello di progetto sia il monitoraggio basato sui criteri della piattaforma CV.

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

• CLUSTER_NAME: nome di un cluster
• LOCATION: la località, ad esempio us-central1 o asia-south1
• POLICY_PROJECT_ID: l'ID del progetto in cui è archiviato il criterio
• POLICY_ID: l'ID criterio
• CLUSTER_PROJECT_ID: l'ID progetto del cluster

Esegui questo comando:

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Disattiva CV

Puoi abilitare il CV su un cluster GKE che utilizza anche Autorizzazione binaria e il criterio del singleton del progetto per l'applicazione.

In questo caso e vuoi disabilitare solo il CV, esegui questo comando:

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

• CLUSTER_NAME: nome di un cluster
• LOCATION: la località, ad esempio us-central1 o asia-south1
• POLICY_PROJECT_ID: l'ID del progetto in cui è archiviato il criterio
• POLICY_ID: l'ID criterio
• CLUSTER_PROJECT_ID: l'ID progetto del cluster

Esegui questo comando:

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Passaggi successivi

• Utilizzare il controllo di aggiornamento delle immagini
• Utilizzare il semplice controllo dell'attestazione di firma
• Utilizzare il controllo della firma di Sigstore
• Utilizzare il controllo SLSA
• Utilizzare il controllo della directory attendibile
• Utilizza il controllo di vulnerabilità
• Visualizzare i log del CV