このページでは、Google Kubernetes Engine(GKE)で使用する Binary Authorization の設定方法を概説します。Binary Authorization は、Google Cloud コンソールまたは Google Cloud CLI を使用して設定できます。いくつかの設定手順は Binary Authorization REST API でも実行できます。
次の設定手順を含むエンドツーエンドのチュートリアルについては、Google Cloud CLI の使用を開始するまたは Google Cloud コンソールの使用を開始するをご覧ください。
Binary Authorization を設定するには、次の手順を行います。
-
Binary Authorization API を有効にすると、個々のクラスタで機能を有効にしなくても、Google Cloud コンソールの GKE の [セキュリティ対策] ページでコンテナ イメージの実行に関する問題を確認できます。詳細については、GKE ドキュメントのセキュリティ ポスチャー ダッシュボードについてをご覧ください。
Binary Authorization を有効にしたクラスタを作成するか、既存のクラスタで Binary Authorization を有効にします。
Binary Authorization ポリシーを構成します。
ポリシーでは、次の機能を構成できます。
省略可: ポリシーまたは Container Registry リポジトリを所有している複数の Google Cloud プロジェクトがある場合は、プロジェクト間のアクセスに必要な IAM ロールを付与します。手順については、GKE で Binary Authorization のプロジェクト間アクセスを構成するをご覧ください。
省略可:
built-by-cloud-build認証者を使用して、Cloud Build によってビルドされたイメージのみをデプロイします。省略可: 証明書を使用します。