Halaman ini berisi informasi referensi untuk kebijakan Otorisasi Biner seperti yang ditentukan dalam format YAML. Saat mengonfigurasi kebijakan menggunakan antarmuka command line, Anda mengedit file berformat YAML yang sesuai dengan spesifikasi ini. Untuk mengetahui contoh kebijakan dalam format YAML, lihat Contoh Kebijakan.
File YAML kebijakan memiliki format berikut:
name: projects/<PROJECT_ID>/policy
admissionWhitelistPatterns:
- namePattern: <MATCHING_PATTERN>
- ...
globalPolicyEvaluationMode: <GLOBAL_EVAL_MODE>
defaultAdmissionRule:
<ADMISSION_RULE>
clusterAdmissionRules:
<CLUSTER_SPECIFIER>:
<ADMISSION_RULE>
...
Node
Format YAML memiliki node level teratas berikut:
Node | Deskripsi | Diperlukan |
---|---|---|
name |
Nama kebijakan. | Ya |
admissionWhitelistPatterns |
Menentukan image container yang selalu diizinkan untuk di-deploy. | Tidak |
globalPolicyEvaluationMode |
Menentukan apakah akan menerapkan kebijakan sistem yang mengecualikan image sistem milik Google. | Tidak |
defaultAdmissionRule |
Aturan yang digunakan jika tidak ada aturan tertentu yang berlaku. | Ya |
clusterAdmissionRules |
Menentukan aturan yang berlaku untuk cluster tertentu. | Tidak |
name
Node name
berisi nama kebijakan dalam format berikut:
name: projects/PROJECT_ID/policy
dengan PROJECT_ID adalah nama project Google Cloud tempat kebijakan Anda ditentukan.
Contoh:
name: projects/example-project/policy
admissionWhitelistPatterns
admissionWhitelistPatterns
menentukan daftar image container yang diizinkan yang
dikecualikan dari penerapan kebijakan. Tentukan jalur ke image di Container Registry dan Artifact Registry, registry lain, atau referensi lokal di subnode namePattern
:
admissionWhitelistPatterns: - namePattern: MATCHING_PATTERN - ...
Ganti MATCHING_PATTERN dengan jalur ke satu gambar atau pola yang cocok yang berisi salah satu simbol karakter pengganti (*
, **
).
Perhatikan bahwa karakter pengganti hanya valid di akhir pola. Misalnya,
gcr.io/my-project/nginx*
adalah pola yang valid, tetapi gcr.io/my-project/n*x
tidak. Karakter pengganti *
hanya mencocokkan gambar di direktori yang ditentukan. Misalnya, gcr.io/my-project/nginx*
cocok dengan gcr.io/my-project/nginx:latest
,
tetapi tidak cocok dengan gcr.io/my-project/nginx-images/nginx
. Karakter pengganti **
cocok dengan gambar
di subdirektori. Misalnya, jalur gcr.io/my-project/nginx**
cocok
dengan gcr.io/my-project/nginx-1.14.2/image:latest
.
Contoh berikut menambahkan registry yang berisi image Google Kubernetes Engine (GKE) yang umum digunakan, image yang terletak di gcr.io/example-project/helloworld
, dan referensi lokal ke suatu image, ke daftar image yang dikecualikan untuk kebijakan tersebut:
admissionWhitelistPatterns: - namePattern: gcr.io/google-containers/* - namePattern: k8s.gcr.io/** - namePattern: gke.gcr.io/** - namePattern: gcr.io/gke-release/asm/* - namePattern: gcr.io/stackdriver-agents/* - namePattern: gcr.io/example-project/helloworld - namePattern: loc-ref
Pola daftar yang diizinkan
Untuk mengizinkan semua image container yang lokasi registrynya cocok dengan jalur yang ditentukan:
admissionWhitelistPatterns: ... - namePattern: gcr.io/example-project/*
Untuk mengizinkan gambar tertentu:
admissionWhitelistPatterns: ... - namePattern: gcr.io/example-project/helloworld
Untuk mengizinkan versi yang saat ini diberi tag:
admissionWhitelistPatterns: ... - namePattern: gcr.io/example-project/helloworld:latest - namePattern: gcr.io/example-project/helloworld:my-tag - namePattern: gcr.io/example-project/helloworld:v1.*
Untuk mengizinkan versi gambar tertentu melalui ringkasannya:
admissionWhitelistPatterns: ... - namePattern: gcr.io/example-project/helloworld@sha256:77b0b75136b9bd0fd36fb50f4c92ae0dbdbbe164ab67885e736fa4374e0cbb8c
Untuk mengizinkan gambar di subdirektori jalur tertentu:
admissionWhitelistPatterns: ... - namePattern: gcr.io/example-project/**
globalPolicyEvaluationMode
Mode evaluasi kebijakan sistem
adalah setelan kebijakan yang menyebabkan Otorisasi Biner mengevaluasi kebijakan sistem sebelum mengevaluasi kebijakan yang Anda konfigurasikan. Kebijakan sistem disediakan
oleh Google dan mengecualikan daftar image sistem yang dikelola Google dari evaluasi
kebijakan lebih lanjut. Jika Anda mengaktifkan setelan ini, gambar yang diperlukan oleh GKE tidak akan diblokir oleh penerapan kebijakan. Kebijakan
sistem dievaluasi sebelum dan selain evaluasi kebijakan pengguna,
termasuk admissionWhitelistPatterns
.
Untuk mengizinkan semua image sistem yang dikelola Google, tetapkan
properti globalPolicyEvaluationMode
ke ENABLE
:
globalPolicyEvaluationMode: ENABLE
Untuk menonaktifkan mode evaluasi kebijakan sistem:
globalPolicyEvaluationMode: DISABLE
defaultAdmissionRule
defaultAdmissionRule
menentukan aturan default
untuk kebijakan. Aturan default menentukan batasan yang berlaku untuk semua
image container yang tidak dikecualikan, kecuali image yang memiliki
aturan khusus cluster-nya sendiri. Anda menentukan aturan default menggunakan koleksi ADMISSION_RULE:
defaultAdmissionRule: ADMISSION_RULE
Contoh berikut menunjukkan aturan default yang hanya mengizinkan image container tersebut untuk di-deploy yang telah diotorisasi oleh attestor yang ditentukan. Jika semua attestor yang diperlukan belum memberikan otorisasi pada image, Otorisasi Biner akan memblokir deployment dan menulis ke log audit.
defaultAdmissionRule: evaluationMode: REQUIRE_ATTESTATION enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG requireAttestationsBy: - projects/example-project/attestors/secure-build
clusterAdmissionRules
clusterAdmissionRules
mendeklarasikan
aturan khusus cluster untuk kebijakan tersebut.
Batasan dalam aturan ini hanya berlaku untuk cluster yang ditentukan. Jika Otorisasi Biner menerapkan aturan khusus cluster pada deployment, aturan default-nya tidak akan dipertimbangkan. Seperti aturan default, Anda menentukan aturan khusus cluster menggunakan koleksi ADMISSION_RULE:
clusterAdmissionRules: CLUSTER_SPECIFIER: ADMISSION_RULE
dengan CLUSTER_SPECIFIER adalah ID resource cluster tempat
aturan diterapkan dalam format location.name
(misalnya,
us-east1-a.prod-cluster
).
Contoh berikut menunjukkan aturan khusus cluster yang hanya mengizinkan deployment image container tersebut yang telah diotorisasi oleh attestor yang ditentukan:
clusterAdmissionRules: us-east1-a.prod-cluster: evaluationMode: REQUIRE_ATTESTATION enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG requireAttestationsBy: - projects/example-project/attestors/secure-build - projects/example-project/attestors/prod-qualified
Koleksi node
ADMISSION_RULE
ADMISSION_RULE
adalah kumpulan node yang menentukan batasan untuk
aturan dalam format berikut:
evaluationMode: EVAL_MODE enforcementMode: ENFORCEMENT_MODE requireAttestationsBy: - ATTESTOR - ...
Baik defaultAdmissionRule
maupun clusterAdmissionRule
mereferensikan koleksi ini.
evaluationMode
evaluationMode
menentukan operasi yang dilakukan Otorisasi Biner untuk mengevaluasi apakah akan men-deploy image container atau tidak. Kemungkinan nilainya adalah:
ALWAYS_ALLOW
: Selalu izinkan deployment image yang dievaluasi oleh aturan iniALWAYS_DENY
: Selalu tolak deployment image yang dievaluasi oleh aturan iniREQUIRE_ATTESTATION
: Mewajibkan satu atau beberapa attestor untuk mengizinkan rilis sebelum deployment
Jika evaluationMode
adalah REQUIRE_ATTESTATION
, Anda harus memberikan referensi ke attestor yang diperlukan di requireAttestationsBy
.
enforcementMode
enforcementMode
menentukan tindakan yang dilakukan oleh Otorisasi Biner jika gambar container tidak sesuai dengan batasan yang ditentukan dalam aturan. Nilai
yang mungkin adalah:
ENFORCED_BLOCK_AND_AUDIT_LOG
: Memblokir deployment dan penulisan ke log audit.DRYRUN_AUDIT_LOG_ONLY
: Memungkinkan deployment image yang tidak sesuai dan menulis detail tentang pelanggaran ke log audit.
Sebagian besar aturan produksi menggunakan mode penerapan ENFORCED_BLOCK_AND_AUDIT_LOG
.
DRYRUN_AUDIT_LOG_ONLY
terutama digunakan untuk menguji kebijakan di lingkungan Anda sebelum kebijakan tersebut berlaku.
requireAttestationsBy
requireAttestationsBy
menentukan satu atau beberapa attestor yang harus mengizinkan rilis sebelum image container dapat di-deploy. Hal ini hanya diperlukan untuk aturan REQUIRE_ATTESTATION
. Format untuk node ini adalah:
requireAttestationsBy: - projects/PROJECT_ID/attestors/ATTESTOR_NAME - ...
dengan PROJECT_ID adalah nama project tempat attestor Anda ditentukan dan ATTESTOR_NAME adalah nama attestor yang diwajibkan untuk menandatangani rilis.
Contoh berikut menunjukkan cara menentukan attestor:
requireAttestationsBy: - projects/example-project/attestors/secure-build - projects/example-project/attestors/prod-qualified