Mengelola kebijakan platform
Bagian ini menjelaskan cara mengelola kebijakan platform CV.
Membuat kebijakan platform
Bagian ini menunjukkan cara membuat kebijakan platform.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
- POLICY_ID: ID kebijakan platform
pilihan Anda. Jika kebijakan berada di project lain, Anda dapat menggunakan nama resource lengkap:
projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
. - POLICY_PATH: Jalur ke file kebijakan.
- POLICY_PROJECT_ID: Project ID kebijakan.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta container binauthz policy create POLICY_ID \ --platform=gke \ --policy-file=POLICY_PATH \ --project=POLICY_PROJECT_ID
Windows (PowerShell)
gcloud beta container binauthz policy create POLICY_ID ` --platform=gke ` --policy-file=POLICY_PATH ` --project=POLICY_PROJECT_ID
Windows (cmd.exe)
gcloud beta container binauthz policy create POLICY_ID ^ --platform=gke ^ --policy-file=POLICY_PATH ^ --project=POLICY_PROJECT_ID
Mencantumkan kebijakan platform CV
Bagian ini menunjukkan cara mencantumkan kebijakan platform.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
POLICY_PROJECT_ID
: ID project yang berisi kebijakan yang akan dicantumkan
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta container binauthz policy list gke \ --project=POLICY_PROJECT_ID
Windows (PowerShell)
gcloud beta container binauthz policy list gke ` --project=POLICY_PROJECT_ID
Windows (cmd.exe)
gcloud beta container binauthz policy list gke ^ --project=POLICY_PROJECT_ID
Menjelaskan kebijakan platform CV
Bagian ini menunjukkan cara mendeskripsikan project kebijakan platform.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
POLICY_PROJECT_ID
: ID project yang berisi kebijakanPOLICY_ID
: ID kebijakan platform. Jika kebijakan berada di project lain, Anda dapat menggunakan nama resource lengkap:projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta container binauthz policy describe POLICY_ID \ --project=POLICY_PROJECT_ID \ --platform=gke
Windows (PowerShell)
gcloud beta container binauthz policy describe POLICY_ID ` --project=POLICY_PROJECT_ID ` --platform=gke
Windows (cmd.exe)
gcloud beta container binauthz policy describe POLICY_ID ^ --project=POLICY_PROJECT_ID ^ --platform=gke
Memperbarui kebijakan platform CV
Bagian ini menunjukkan cara memperbarui kebijakan platform.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
- POLICY_ID: ID kebijakan platform. Jika kebijakan berada di project lain, Anda dapat menggunakan nama resource lengkap:
projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
. - POLICY_PROJECT_ID: project ID kebijakan
- POLICY_PATH: jalur ke file kebijakan yang diperbarui
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta container binauthz policy update POLICY_ID \ --policy-file=POLICY_PATH \ --platform=gke \ --project=POLICY_PROJECT_ID
Windows (PowerShell)
gcloud beta container binauthz policy update POLICY_ID ` --policy-file=POLICY_PATH ` --platform=gke ` --project=POLICY_PROJECT_ID
Windows (cmd.exe)
gcloud beta container binauthz policy update POLICY_ID ^ --policy-file=POLICY_PATH ^ --platform=gke ^ --project=POLICY_PROJECT_ID
Menghapus kebijakan platform CV
Bagian ini menunjukkan cara menghapus kebijakan platform.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
POLICY_ID
: ID kebijakan platform lokal. Jika kebijakan berada di project lain, Anda dapat menggunakan nama resource lengkap:projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
.- POLICY_PROJECT_ID: project ID kebijakan
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta container binauthz policy delete POLICY_ID \ --platform=gke \ --project=POLICY_PROJECT_ID
Windows (PowerShell)
gcloud beta container binauthz policy delete POLICY_ID ` --platform=gke ` --project=POLICY_PROJECT_ID
Windows (cmd.exe)
gcloud beta container binauthz policy delete POLICY_ID ^ --platform=gke ^ --project=POLICY_PROJECT_ID
Mengelola cluster GKE dengan kebijakan CV
Bagian ini menunjukkan cara mengaktifkan CV dengan kebijakan platform untuk GKE.
Memperbarui cluster agar hanya menggunakan pemantauan CV
Bagian ini menunjukkan cara mengupdate cluster agar hanya menggunakan pemantauan berbasis kebijakan platform CV. Jika cluster ini sudah mengaktifkan penerapan kebijakan project-singleton, menjalankan perintah ini akan menonaktifkannya. Sebagai gantinya, pertimbangkan untuk mengupdate cluster dengan penerapan dan pemantauan CV diaktifkan.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
CLUSTER_NAME
: nama clusterLOCATION
: lokasi—misalnya:us-central1
atauasia-south1
POLICY_PROJECT_ID
: ID project tempat kebijakan disimpanPOLICY_ID
: ID kebijakanCLUSTER_PROJECT_ID
: project ID cluster
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters update CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
Mengupdate cluster untuk menggunakan penerapan Otorisasi Biner dengan pemantauan CV
Bagian ini menunjukkan cara mengupdate cluster untuk menggunakan penerapan kebijakan project-singleton dan pemantauan berbasis kebijakan platform CV.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
CLUSTER_NAME
: nama clusterLOCATION
: lokasi—misalnya:us-central1
atauasia-south1
POLICY_PROJECT_ID
: ID project tempat kebijakan disimpanPOLICY_ID
: ID kebijakanCLUSTER_PROJECT_ID
: project ID cluster
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters update CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
Menonaktifkan CV
Anda dapat mengaktifkan CV di cluster GKE yang juga menggunakan Otorisasi Biner dan kebijakan singleton project untuk penerapan.
Jika demikian dan Anda hanya ingin menonaktifkan CV, jalankan perintah berikut:
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
CLUSTER_NAME
: nama clusterLOCATION
: lokasi—misalnya:us-central1
atauasia-south1
POLICY_PROJECT_ID
: ID project tempat kebijakan disimpanPOLICY_ID
: ID kebijakanCLUSTER_PROJECT_ID
: project ID cluster
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters update CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
Langkah selanjutnya
- Menggunakan pemeriksaan keaktualan gambar
- Menggunakan pemeriksaan pengesahan penandatanganan sederhana
- Menggunakan pemeriksaan tanda tangan Sigstore
- Menggunakan pemeriksaan SLSA
- Menggunakan pemeriksaan direktori tepercaya
- Menggunakan pemeriksaan kerentanan
- Melihat log CV