Nesta página, você encontrará informações gerais sobre como configurar a autorização binária no seu ambiente para uso com o Google Kubernetes Engine (GKE). É possível configurar a autorização binária usando o Console do Google Cloud ou a Google Cloud CLI. Você também pode executar algumas etapas de configuração usando a API REST de autorização binária.
Para ver um tutorial completo que inclui as seguintes etapas de configuração, consulte Introdução à CLI do Google Cloud ou Introdução ao Console do Google Cloud.
Para configurar a autorização binária, execute as seguintes etapas:
-
A ativação da API Binary Authorization também permite verificar problemas com a execução de imagens de contêiner na página Postura de segurança do GKE no Console do Google Cloud, sem ativar recursos em clusters individuais. Para mais detalhes, consulte Sobre o painel de postura de segurança na documentação do GKE.
Crie um cluster com a autorização binária ativada ou ative a autorização binária em um cluster atual.
Configure sua política de autorização binária.
Você pode configurar os seguintes recursos na sua política:
Opcional: se você tiver diferentes projetos do Google Cloud que sejam proprietários da sua política ou dos seus repositórios do Container Registry, conceda os papéis do IAM necessários para o acesso entre projetos. Para instruções, acesse Configurar o acesso entre projetos para autorização binária no GKE.
Opcional: use o atestador
built-by-cloud-build
para implantar somente imagens criadas pelo Cloud Build.Opcional: use atestados.