CV-Plattformrichtlinien verwalten

Plattformrichtlinien verwalten

In diesem Abschnitt wird beschrieben, wie Sie CV-Plattformrichtlinien verwalten.

Eine Plattformrichtlinie erstellen

In diesem Abschnitt erfahren Sie, wie Sie eine Plattformrichtlinie erstellen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• POLICY_ID: Eine Plattformrichtlinien-ID Ihrer Wahl. Wenn sich die Richtlinie in einem anderen Projekt befindet, können Sie den vollständigen Ressourcennamen verwenden: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
• POLICY_PATH: Ein Pfad zur Richtliniendatei.
• POLICY_PROJECT_ID: Die ID des Richtlinienprojekts.

Führen Sie folgenden Befehl aus:

gcloud beta container binauthz policy create POLICY_ID \
    --platform=gke \
    --policy-file=POLICY_PATH \
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy create POLICY_ID `
    --platform=gke `
    --policy-file=POLICY_PATH `
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy create POLICY_ID ^
    --platform=gke ^
    --policy-file=POLICY_PATH ^
    --project=POLICY_PROJECT_ID

CV-Plattformrichtlinie auflisten

In diesem Abschnitt erfahren Sie, wie Sie Plattformrichtlinien auflisten.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• POLICY_PROJECT_ID: die ID des Projekts, das die Richtlinien enthält, die aufgelistet werden sollen.

Führen Sie folgenden Befehl aus:

gcloud beta container binauthz policy list gke \
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy list gke `
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy list gke ^
    --project=POLICY_PROJECT_ID

CV-Plattformrichtlinie beschreiben

In diesem Abschnitt erfahren Sie, wie Sie ein Projekt mit Plattformrichtlinien beschreiben.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• POLICY_PROJECT_ID: Die ID des Projekts, das die Richtlinie enthält
• POLICY_ID: die Plattformrichtlinien-ID. Wenn sich die Richtlinie in einem anderen Projekt befindet, können Sie den vollständigen Ressourcennamen verwenden: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.

Führen Sie folgenden Befehl aus:

gcloud beta container binauthz policy describe POLICY_ID \
    --project=POLICY_PROJECT_ID \
    --platform=gke 

gcloud beta container binauthz policy describe POLICY_ID `
    --project=POLICY_PROJECT_ID `
    --platform=gke 

gcloud beta container binauthz policy describe POLICY_ID ^
    --project=POLICY_PROJECT_ID ^
    --platform=gke 

CV-Plattformrichtlinie aktualisieren

In diesem Abschnitt erfahren Sie, wie Sie eine Plattformrichtlinie aktualisieren.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• POLICY_ID: eine Plattformrichtlinien-ID. Wenn sich die Richtlinie in einem anderen Projekt befindet, können Sie den vollständigen Ressourcennamen verwenden: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
• POLICY_PROJECT_ID: Die Richtlinien-Projekt-ID
• POLICY_PATH: ein Pfad zur aktualisierten Richtliniendatei

Führen Sie folgenden Befehl aus:

gcloud beta container binauthz policy update POLICY_ID \
  --policy-file=POLICY_PATH \
  --platform=gke \
  --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy update POLICY_ID `
  --policy-file=POLICY_PATH `
  --platform=gke `
  --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy update POLICY_ID ^
  --policy-file=POLICY_PATH ^
  --platform=gke ^
  --project=POLICY_PROJECT_ID

CV-Plattformrichtlinie löschen

In diesem Abschnitt erfahren Sie, wie Sie eine Plattformrichtlinie löschen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• POLICY_ID: Die ID der lokalen Plattformrichtlinie. Wenn sich die Richtlinie in einem anderen Projekt befindet, können Sie den vollständigen Ressourcennamen verwenden: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
• POLICY_PROJECT_ID: Die Richtlinien-Projekt-ID

Führen Sie folgenden Befehl aus:

gcloud beta container binauthz policy delete POLICY_ID  \
    --platform=gke \
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy delete POLICY_ID  `
    --platform=gke `
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy delete POLICY_ID  ^
    --platform=gke ^
    --project=POLICY_PROJECT_ID

GKE-Cluster mit CV-Richtlinien verwalten

In diesem Abschnitt erfahren Sie, wie Sie CV mit Plattformrichtlinien für GKE aktivieren.

Cluster aktualisieren, um nur das CV-Monitoring zu verwenden

In diesem Abschnitt erfahren Sie, wie Sie einen Cluster aktualisieren, um nur CV-Plattformrichtlinie basierende Monitoring zu verwenden. Wenn für diesen Cluster bereits die Erzwingung der Projekt-Singleton-Richtlinie aktiviert ist, wird sie durch Ausführen dieses Befehls deaktiviert. Stattdessen sollten Sie den Cluster mit aktivierter Erzwingung und aktiviertem CV-Monitoring aktualisieren.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• CLUSTER_NAME: Der Clustername
• LOCATION: Der Standort, z. B. us-central1 oder asia-south1
• POLICY_PROJECT_ID: die ID des Projekts, in dem die Richtlinie gespeichert ist
• POLICY_ID: die Richtlinien-ID
• CLUSTER_PROJECT_ID: Die Cluster-Projekt-ID

Führen Sie folgenden Befehl aus:

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Cluster aktualisieren, um die Erzwingung der Binärautorisierung mit CV-Monitoring zu verwenden

In diesem Abschnitt erfahren Sie, wie Sie einen Cluster aktualisieren, um sowohl die Projekt-Singleton-Richtlinienerzwingung als auch das CV-Plattformrichtlinien basierende Monitoring zu verwenden.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• CLUSTER_NAME: ein Clustername
• LOCATION: Der Standort, z. B. us-central1 oder asia-south1
• POLICY_PROJECT_ID: die ID des Projekts, in dem die Richtlinie gespeichert ist
• POLICY_ID: die Richtlinien-ID
• CLUSTER_PROJECT_ID: Die Cluster-Projekt-ID

Führen Sie folgenden Befehl aus:

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

CV deaktivieren

Sie können CV für einen GKE-Cluster aktivieren, der auch die Binärautorisierung und die Projekt-Singleton-Richtlinie für die Erzwingung verwendet.

Wenn dies der Fall ist und Sie nur CV deaktivieren möchten, führen Sie den folgenden Befehl aus:

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• CLUSTER_NAME: ein Clustername
• LOCATION: Der Standort, z. B. us-central1 oder asia-south1
• POLICY_PROJECT_ID: die ID des Projekts, in dem die Richtlinie gespeichert ist
• POLICY_ID: die Richtlinien-ID
• CLUSTER_PROJECT_ID: Die Cluster-Projekt-ID

Führen Sie folgenden Befehl aus:

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Nächste Schritte

• Aktualitätsprüfung für Bilder verwenden
• Einfache Prüfung auf Attestierungsignatur verwenden
• Sigstore-Signaturprüfung verwenden
• SLSA-Prüfung verwenden
• Prüfung auf vertrauenswürdige Verzeichnisse verwenden
• Sicherheitslückenprüfung verwenden
• CV-Logs ansehen