Mengelola kebijakan platform CV

Mengelola kebijakan platform

Bagian ini menjelaskan cara mengelola kebijakan platform CV.

Membuat kebijakan platform

Bagian ini menunjukkan cara membuat kebijakan platform.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

• POLICY_ID: ID kebijakan platform pilihan Anda. Jika kebijakan berada di project lain, Anda dapat menggunakan nama resource lengkap: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
• POLICY_PATH: Jalur ke file kebijakan.
• POLICY_PROJECT_ID: Project ID kebijakan.

Jalankan perintah berikut:

gcloud beta container binauthz policy create POLICY_ID \
    --platform=gke \
    --policy-file=POLICY_PATH \
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy create POLICY_ID `
    --platform=gke `
    --policy-file=POLICY_PATH `
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy create POLICY_ID ^
    --platform=gke ^
    --policy-file=POLICY_PATH ^
    --project=POLICY_PROJECT_ID

Mencantumkan kebijakan platform CV

Bagian ini menunjukkan cara mencantumkan kebijakan platform.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

• POLICY_PROJECT_ID: ID project yang berisi kebijakan yang akan dicantumkan

Jalankan perintah berikut:

gcloud beta container binauthz policy list gke \
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy list gke `
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy list gke ^
    --project=POLICY_PROJECT_ID

Menjelaskan kebijakan platform CV

Bagian ini menunjukkan cara mendeskripsikan project kebijakan platform.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

• POLICY_PROJECT_ID: ID project yang berisi kebijakan
• POLICY_ID: ID kebijakan platform. Jika kebijakan berada di project lain, Anda dapat menggunakan nama resource lengkap: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.

Jalankan perintah berikut:

gcloud beta container binauthz policy describe POLICY_ID \
    --project=POLICY_PROJECT_ID \
    --platform=gke 

gcloud beta container binauthz policy describe POLICY_ID `
    --project=POLICY_PROJECT_ID `
    --platform=gke 

gcloud beta container binauthz policy describe POLICY_ID ^
    --project=POLICY_PROJECT_ID ^
    --platform=gke 

Memperbarui kebijakan platform CV

Bagian ini menunjukkan cara memperbarui kebijakan platform.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

• POLICY_ID: ID kebijakan platform. Jika kebijakan berada di project lain, Anda dapat menggunakan nama resource lengkap: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
• POLICY_PROJECT_ID: project ID kebijakan
• POLICY_PATH: jalur ke file kebijakan yang diperbarui

Jalankan perintah berikut:

gcloud beta container binauthz policy update POLICY_ID \
  --policy-file=POLICY_PATH \
  --platform=gke \
  --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy update POLICY_ID `
  --policy-file=POLICY_PATH `
  --platform=gke `
  --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy update POLICY_ID ^
  --policy-file=POLICY_PATH ^
  --platform=gke ^
  --project=POLICY_PROJECT_ID

Menghapus kebijakan platform CV

Bagian ini menunjukkan cara menghapus kebijakan platform.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

• POLICY_ID: ID kebijakan platform lokal. Jika kebijakan berada di project lain, Anda dapat menggunakan nama resource lengkap: projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID.
• POLICY_PROJECT_ID: project ID kebijakan

Jalankan perintah berikut:

gcloud beta container binauthz policy delete POLICY_ID  \
    --platform=gke \
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy delete POLICY_ID  `
    --platform=gke `
    --project=POLICY_PROJECT_ID

gcloud beta container binauthz policy delete POLICY_ID  ^
    --platform=gke ^
    --project=POLICY_PROJECT_ID

Mengelola cluster GKE dengan kebijakan CV

Bagian ini menunjukkan cara mengaktifkan CV dengan kebijakan platform untuk GKE.

Memperbarui cluster agar hanya menggunakan pemantauan CV

Bagian ini menunjukkan cara mengupdate cluster agar hanya menggunakan pemantauan berbasis kebijakan platform CV. Jika cluster ini sudah mengaktifkan penerapan kebijakan project-singleton, menjalankan perintah ini akan menonaktifkannya. Sebagai gantinya, pertimbangkan untuk mengupdate cluster dengan penerapan dan pemantauan CV diaktifkan.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

• CLUSTER_NAME: nama cluster
• LOCATION: lokasi—misalnya: us-central1 atau asia-south1
• POLICY_PROJECT_ID: ID project tempat kebijakan disimpan
• POLICY_ID: ID kebijakan
• CLUSTER_PROJECT_ID: project ID cluster

Jalankan perintah berikut:

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Mengupdate cluster untuk menggunakan penerapan Otorisasi Biner dengan pemantauan CV

Bagian ini menunjukkan cara mengupdate cluster untuk menggunakan penerapan kebijakan project-singleton dan pemantauan berbasis kebijakan platform CV.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

• CLUSTER_NAME: nama cluster
• LOCATION: lokasi—misalnya: us-central1 atau asia-south1
• POLICY_PROJECT_ID: ID project tempat kebijakan disimpan
• POLICY_ID: ID kebijakan
• CLUSTER_PROJECT_ID: project ID cluster

Jalankan perintah berikut:

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Menonaktifkan CV

Anda dapat mengaktifkan CV di cluster GKE yang juga menggunakan Otorisasi Biner dan kebijakan project-singleton untuk penerapan.

Jika demikian dan Anda hanya ingin menonaktifkan CV, jalankan perintah berikut:

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

• CLUSTER_NAME: nama cluster
• LOCATION: lokasi—misalnya: us-central1 atau asia-south1
• POLICY_PROJECT_ID: ID project tempat kebijakan disimpan
• POLICY_ID: ID kebijakan
• CLUSTER_PROJECT_ID: project ID cluster

Jalankan perintah berikut:

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

gcloud beta container clusters update CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

Langkah berikutnya

• Menggunakan pemeriksaan keaktualan gambar
• Menggunakan pemeriksaan pengesahan penandatanganan sederhana
• Menggunakan pemeriksaan tanda tangan Sigstore
• Menggunakan pemeriksaan SLSA
• Menggunakan pemeriksaan direktori tepercaya
• Menggunakan pemeriksaan kerentanan
• Melihat log CV