Administra las políticas de la plataforma
En esta sección, se describe cómo administrar las políticas de la plataforma de CV.
Crea una política de plataforma
En esta sección, se muestra cómo crear una política de la plataforma.
Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
- POLICY_ID: un ID de la política de plataforma que elijas. Si la política se encuentra en otro proyecto, puedes usar el nombre completo del recurso:
projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
. - POLICY_PATH: una ruta de acceso al archivo de política.
- POLICY_PROJECT_ID: el ID del proyecto de políticas.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud beta container binauthz policy create POLICY_ID \ --platform=gke \ --policy-file=POLICY_PATH \ --project=POLICY_PROJECT_ID
Windows (PowerShell)
gcloud beta container binauthz policy create POLICY_ID ` --platform=gke ` --policy-file=POLICY_PATH ` --project=POLICY_PROJECT_ID
Windows (cmd.exe)
gcloud beta container binauthz policy create POLICY_ID ^ --platform=gke ^ --policy-file=POLICY_PATH ^ --project=POLICY_PROJECT_ID
Enumera una política de plataforma de CV
En esta sección, se muestra cómo enumerar las políticas de la plataforma.
Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
POLICY_PROJECT_ID
: el ID del proyecto que contiene las políticas que deseas enumerar
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud beta container binauthz policy list gke \ --project=POLICY_PROJECT_ID
Windows (PowerShell)
gcloud beta container binauthz policy list gke ` --project=POLICY_PROJECT_ID
Windows (cmd.exe)
gcloud beta container binauthz policy list gke ^ --project=POLICY_PROJECT_ID
Describe una política de plataforma de CV
En esta sección, se muestra cómo describir un proyecto de política de plataforma.
Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
POLICY_PROJECT_ID
: El ID del proyecto que contiene la políticaPOLICY_ID
: el ID de la política de plataforma. Si la política se encuentra en otro proyecto, puedes usar el nombre completo del recurso:projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud beta container binauthz policy describe POLICY_ID \ --project=POLICY_PROJECT_ID \ --platform=gke
Windows (PowerShell)
gcloud beta container binauthz policy describe POLICY_ID ` --project=POLICY_PROJECT_ID ` --platform=gke
Windows (cmd.exe)
gcloud beta container binauthz policy describe POLICY_ID ^ --project=POLICY_PROJECT_ID ^ --platform=gke
Actualiza una política de la plataforma de CV
En esta sección, se muestra cómo actualizar la política de una plataforma.
Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
- POLICY_ID: un ID de la política de plataforma. Si la política se encuentra en otro proyecto, puedes usar el nombre completo del recurso:
projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
. - POLICY_PROJECT_ID: el ID del proyecto de política
- POLICY_PATH: una ruta de acceso al archivo de la política actualizada
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud beta container binauthz policy update POLICY_ID \ --policy-file=POLICY_PATH \ --platform=gke \ --project=POLICY_PROJECT_ID
Windows (PowerShell)
gcloud beta container binauthz policy update POLICY_ID ` --policy-file=POLICY_PATH ` --platform=gke ` --project=POLICY_PROJECT_ID
Windows (cmd.exe)
gcloud beta container binauthz policy update POLICY_ID ^ --policy-file=POLICY_PATH ^ --platform=gke ^ --project=POLICY_PROJECT_ID
Borra una política de plataforma de la CV
En esta sección, se muestra cómo crear una política de la plataforma.
Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
POLICY_ID
: El ID de la política de plataforma local. Si la política se encuentra en otro proyecto, puedes usar el nombre completo del recurso:projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
.- POLICY_PROJECT_ID: el ID del proyecto de política
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud beta container binauthz policy delete POLICY_ID \ --platform=gke \ --project=POLICY_PROJECT_ID
Windows (PowerShell)
gcloud beta container binauthz policy delete POLICY_ID ` --platform=gke ` --project=POLICY_PROJECT_ID
Windows (cmd.exe)
gcloud beta container binauthz policy delete POLICY_ID ^ --platform=gke ^ --project=POLICY_PROJECT_ID
Administra clústeres de GKE con políticas de CV
En esta sección, se muestra cómo habilitar la CV con las políticas de plataforma para GKE.
Actualiza el clúster para usar solo la supervisión de CV
En esta sección, se muestra cómo actualizar un clúster para usar solo la supervisión basada en políticas de la plataforma de CV. Si este clúster ya tiene una aplicación de política de singleton del proyecto habilitada, la ejecución de este comando la inhabilita. En su lugar, considera actualizar el clúster con la aplicación y la supervisión de la CV habilitadas.
Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
CLUSTER_NAME
: el nombre del clústerLOCATION
: la ubicación, por ejemplo:us-central1
oasia-south1
POLICY_PROJECT_ID
: el ID del proyecto en el que se almacena la políticaPOLICY_ID
: el ID de la políticaCLUSTER_PROJECT_ID
: Es el ID del proyecto del clúster
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters update CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
Actualiza un clúster para usar la aplicación de Autorización Binaria con la supervisión de CV
En esta sección, se muestra cómo actualizar un clúster para usar la aplicación de políticas de singleton del proyecto y la supervisión basada en políticas de la plataforma de CV.
Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
CLUSTER_NAME
: un nombre de clústerLOCATION
: la ubicación, por ejemplo:us-central1
oasia-south1
POLICY_PROJECT_ID
: el ID del proyecto en el que se almacena la políticaPOLICY_ID
: el ID de la políticaCLUSTER_PROJECT_ID
: Es el ID del proyecto del clúster
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters update CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
Inhabilita la CV
Puedes habilitar la CV en un clúster de GKE que también use Autorización Binaria y la política de proyecto singleton para la aplicación.
Si este es el caso y quieres inhabilitar solo la CV, ejecuta el siguiente comando:
Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
CLUSTER_NAME
: un nombre de clústerLOCATION
: la ubicación, por ejemplo:us-central1
oasia-south1
POLICY_PROJECT_ID
: el ID del proyecto en el que se almacena la políticaPOLICY_ID
: el ID de la políticaCLUSTER_PROJECT_ID
: Es el ID del proyecto del clúster
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters update CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
¿Qué sigue?
- Usa la verificación de actualidad de la imagen
- Usa la verificación de certificación de firma simple
- Usa la verificación de firma de Sigstore
- Usa la verificación de SLSA
- Usa la verificación del directorio de confianza
- Usa la verificación de vulnerabilidades
- Visualiza los registros de la CV