Gérer les stratégies de plate-forme CV

Gérer les règles de plate-forme

Cette section explique comment gérer les règles de plate-forme CV.

Créer une règle de plate-forme

Cette section explique comment créer une règle de plate-forme.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• POLICY_ID : ID de règle de plate-forme de votre choix. Si la règle se trouve dans un autre projet, vous pouvez utiliser le nom complet de la ressource : projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
• POLICY_PATH : chemin d'accès au fichier de règle.
• POLICY_PROJECT_ID : ID du projet de règle.

Exécutez la commande suivante :

gcloud beta container binauthz policy create POLICY_ID \
    --platform=gke \
    --policy-file=POLICY_PATH \
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy create POLICY_ID `
    --platform=gke `
    --policy-file=POLICY_PATH `
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy create POLICY_ID ^
    --platform=gke ^
    --policy-file=POLICY_PATH ^
    --project=POLICY_PROJECT_ID

Lister une stratégie de plate-forme CV

Cette section vous explique comment lister les stratégies de plate-forme.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• POLICY_PROJECT_ID : ID du projet contenant les règles à répertorier.

Exécutez la commande suivante :

gcloud beta container binauthz policy list gke \
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy list gke `
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy list gke ^
    --project=POLICY_PROJECT_ID

Décrire une stratégie de plate-forme CV

Cette section vous explique comment décrire un projet de stratégies de plate-forme.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• POLICY_PROJECT_ID : ID du projet contenant la règle
• POLICY_ID : ID de la stratégie de plate-forme. Si la règle se trouve dans un autre projet, vous pouvez utiliser le nom complet de la ressource : projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.

Exécutez la commande suivante :

gcloud beta container binauthz policy describe POLICY_ID \
    --project=POLICY_PROJECT_ID \
    --platform=gke 

gcloud beta container binauthz policy describe POLICY_ID `
    --project=POLICY_PROJECT_ID `
    --platform=gke 

gcloud beta container binauthz policy describe POLICY_ID ^
    --project=POLICY_PROJECT_ID ^
    --platform=gke 

Mettre à jour une stratégie de plate-forme CV

Cette section explique comment mettre à jour une stratégie de plate-forme.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• POLICY_ID : ID de règle de plate-forme. Si la règle se trouve dans un autre projet, vous pouvez utiliser le nom complet de la ressource : projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
• POLICY_PROJECT_ID : ID du projet de règles
• POLICY_PATH: chemin d'accès au fichier de règle mis à jour

Exécutez la commande suivante :

gcloud beta container binauthz policy update POLICY_ID \
  --policy-file=POLICY_PATH \
  --platform=gke \
  --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy update POLICY_ID `
  --policy-file=POLICY_PATH `
  --platform=gke `
  --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy update POLICY_ID ^
  --policy-file=POLICY_PATH ^
  --platform=gke ^
  --project=POLICY_PROJECT_ID

Supprimer une règle de plate-forme CV

Cette section explique comment supprimer une règle de plate-forme.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• POLICY_ID : ID de la stratégie de plate-forme locale. Si la règle se trouve dans un autre projet, vous pouvez utiliser le nom complet de la ressource : projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
• POLICY_PROJECT_ID : ID du projet de règles

Exécutez la commande suivante :

gcloud beta container binauthz policy delete POLICY_ID  \
    --platform=gke \
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy delete POLICY_ID  `
    --platform=gke `
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy delete POLICY_ID  ^
    --platform=gke ^
    --project=POLICY_PROJECT_ID

Gérer des clusters GKE avec des stratégies de CV

Cette section explique comment activer la CV avec des stratégies de plate-forme pour GKE.

Mettre à jour le cluster pour n'utiliser que la surveillance CV

Cette section explique comment mettre à jour un cluster pour n'utiliser que la surveillance basée sur des stratégies de plate-forme CV. Si l'application des règles Singleton de projet est déjà activée sur ce cluster, l'exécution de cette commande la désactive. Envisagez plutôt de mettre à jour le cluster avec l'application forcée et la surveillance CV activées.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• CLUSTER_NAME : nom du cluster
• LOCATION : emplacement (par exemple : us-central1 ou asia-south1)
• POLICY_PROJECT_ID : ID du projet dans lequel la règle est stockée
• POLICY_ID : ID de la règle
• CLUSTER_PROJECT_ID : ID de projet du cluster

Exécutez la commande suivante :

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Mettre à jour un cluster pour utiliser l'application de l'autorisation binaire avec la surveillance de la CV

Cette section explique comment mettre à jour un cluster pour utiliser à la fois l'application des règles Singleton de projet et la surveillance basée sur des stratégies de plate-forme CV.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• CLUSTER_NAME : nom du cluster
• LOCATION : emplacement (par exemple : us-central1 ou asia-south1)
• POLICY_PROJECT_ID : ID du projet dans lequel la règle est stockée
• POLICY_ID : ID de la règle
• CLUSTER_PROJECT_ID : ID de projet du cluster

Exécutez la commande suivante :

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Désactiver la CV

Vous pouvez activer la CV sur un cluster GKE qui utilise également l'autorisation binaire et les règles singleton de projet pour l'application.

Si tel est le cas et que vous souhaitez désactiver uniquement la CV, exécutez la commande suivante :

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• CLUSTER_NAME : nom du cluster
• LOCATION : emplacement (par exemple : us-central1 ou asia-south1)
• POLICY_PROJECT_ID : ID du projet dans lequel la règle est stockée
• POLICY_ID : ID de la règle
• CLUSTER_PROJECT_ID : ID de projet du cluster

Exécutez la commande suivante :

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Étapes suivantes

• Utiliser la vérification de fraîcheur d'image
• Utiliser la vérification d'attestation de signature simple
• Utiliser la vérification de signature Sigstore
• Utiliser la vérification SLSA
• Utiliser la vérification du répertoire de confiance
• Utiliser la vérification des failles
• Afficher les journaux CV