従来の継続的検証を使用する

このページは、従来の CV のユーザーを対象としています。

継続的検証(CV)チェックプラットフォーム ポリシーがサポートされるようになりました。CV に慣れていない場合は、プラットフォーム ポリシーと CV を使用することをおすすめします。従来の CV を使用する場合は、プロジェクトのシングルトン ポリシーをプラットフォーム ポリシーにアップグレードすることをおすすめします。

CV は Binary Authorization の機能で、Binary Authorization プロジェクトのシングルトン ポリシーへの準拠を継続するため、実行中の Pod に関連付けられたコンテナ イメージを定期的にチェックします。CV は結果を Cloud Logging に記録します。

CV は実行中の Pod を終了しません。

制限事項

CV には次の制限があります。

  • CV は、Google Kubernetes Engine(GKE)にデプロイされた Pod のみをサポートします。
  • CV は、Anthos Service Mesh サービス ID、Kubernetes サービス アカウント、Kubernetes Namespace の特定のルールを指定する Binary Authorization ポリシーはサポートしていません。

始める前に

  1. プロジェクトで Google Kubernetes Engine の Binary Authorization が設定されていることを確認します。CV は、プロジェクト内のすべてのクラスタの Pod から受信したポリシー適合性イベントをログに記録します。

  2. gcloud CLI が最新バージョンであることを確認します。

必要な権限

Identity and Access Management(IAM)のロールには権限が含まれています。このロールは、ユーザー、グループ、サービス アカウントに割り当てることができます。各ロールに含まれている CV の権限は次のとおりです。

ロール名 CV 権限 説明
roles/binaryauthorization.policyEditor binaryauthorization.continuousValidationConfig.update CV を有効または無効にします。

必要な IAM 権限を設定するには、次のコマンドを実行します。

PROJECT_NUMBER=$(gcloud projects list \
  --filter="projectId:ATTESTATION_PROJECT_ID" \
  --format="value(PROJECT_NUMBER)")
SERVICE_ACCOUNT="service-$PROJECT_NUMBER@gcp-sa-binaryauthorization.iam.gserviceaccount.com"

gcloud projects add-iam-policy-binding ATTESTATION_PROJECT_ID \
    --member="serviceAccount:$SERVICE_ACCOUNT" \
    --role='roles/containeranalysis.occurrences.viewer'

従来の CV を有効にする

コンソール

Google Cloud コンソールを使用して CV を有効にするには、次の手順を行います。

  1. Google Cloud コンソールで、Binary Authorization の [ポリシー] ページに移動します。

    Binary Authorization ポリシーに移動

  2. [ポリシー] タブをクリックします。

  3. [ポリシーの編集] をクリックします。

  4. [GKE と Anthos のデプロイ向けの追加設定] セクションを開きます。

  5. [継続的検証を有効にする] チェックボックスをオンにします。

  6. [ポリシーを保存] をクリックします。

REST API

REST API を使用して CV を有効にするには、次の手順を行います。

  1. プロジェクト ID を保存します。

    DEPLOYER_PROJECT_ID=DEPLOYER_PROJECT_ID

    DEPLOYER_PROJECT_ID は、GKE を実行するプロジェクトの ID に置き換えます。

  2. Google Cloud の OAuth トークンを取得します。

    BEARER_TOKEN=$(gcloud auth print-access-token)

    トークンは短時間しか有効でありません。

  3. CV を有効にします。

    curl "https://binaryauthorization.googleapis.com/v1alpha2/projects/${DEPLOYER_PROJECT_ID}/continuousValidationConfig" -X PUT -H "authorization: Bearer $BEARER_TOKEN" -H "Content-Type: application/json" --data '{"enforcementPolicyConfig": {"enabled": "true"}}'

これで、イベントをログに記録するように CV を構成できました。

Logging のログエントリは次の例のようになります。

{
"insertId": "6054e143-0000-2562-aa64-883d24f57e70",
"jsonPayload": {
  "@type": "type.googleapis.com/google.cloud.binaryauthorization.v1beta1.ContinuousValidationEvent",
  "podEvent": {
    "images": [
      {
        "description": "Image <var>IMAGE_NAME@IMAGE_DIGEST</var> denied by
        attestor projects/<var>ATTESTOR_PROJECT_ID</var>/attestors/<var>ATTESTOR_NAME</var>:
        No attestations found that were valid and signed by a key trusted by
        the attestor",
        "image": "<var>IMAGE_NAME@IMAGE_DIGEST</var>",
        "result": "DENY"
      }
    ],
    "verdict": "VIOLATES_POLICY",
    "deployTime": "2021-03-19T17:00:08Z",
    "pod": "<var>POD_NAME</var>"
  }
},
"resource": {
  "type": "k8s_cluster",
  "labels": {
    "cluster_name": "<var>CLUSTER_NAME</var>",
    "location": "<var>CLUSTER_LOCATION</var>",
    "project_id": "<var>DEPLOYER_PROJECT_ID</var>"
  }
},
"timestamp": "2021-03-19T17:15:43.872702342Z",
"severity": "WARNING",
"logName": "projects/<var>DEPLOYER_PROJECY_ID</var>/logs/binaryauthorization.googleapis.com%2Fcontinuous_validation",
"receiveTimestamp": "2021-03-19T17:57:00.432116179Z"
}

CV イベントのクエリを実行する方法については、Cloud Logging で CV イベントを表示するをご覧ください。

トラブルシューティング

CV は、Cloud Asset Inventory や Pub/Sub などの他の Google Cloud サービスを使用します。CV に失敗した場合は、Cloud Logging で Cloud Asset Inventory のエラーを確認できます。

また、CV は binauthz-cv-cai-feed というフィード リソースを作成します。フィードを削除または変更すると、CV が失敗することがあります。CV は、欠落しているフィードや変更されたフィードを自動的に復元しますが、復元するまで検出結果が記録されない場合があります。

CV を無効にする

コンソール

Google Cloud コンソールを使用して CV を無効にするには、次の手順を行います。

  1. Google Cloud コンソールで [Binary Authorization] ページに移動します。

    Binary Authorization ポリシーに移動

  2. [ポリシー] タブをクリックします。

  3. [ポリシーの編集] をクリックします。

  4. [継続的検証を有効にする] チェックボックスをオフにします。

  5. [ポリシーを保存] をクリックします。

REST API

REST API を使用して CV を無効にするには、次の手順を行います。

  1. プロジェクト ID を保存します。

    DEPLOYER_PROJECT_ID=DEPLOYER_PROJECT_ID

    DEPLOYER_PROJECT_ID は、GKE を実行するプロジェクトの ID に置き換えます。

  2. Google Cloud の OAuth トークンを取得します。

    BEARER_TOKEN=$(gcloud auth print-access-token)

    トークンは短時間しか有効でありません。

  3. CV は、次のコマンドを使用して無効にします。

    curl "https://binaryauthorization.googleapis.com/v1alpha2/projects/${DEPLOYER_PROJECT_ID}/continuousValidationConfig" -X PUT -H "authorization: Bearer $BEARER_TOKEN" -H "Content-Type: application/json" --data '{"enforcementPolicyConfig": {"enabled": "false"}}'

Cloud Logging で CV イベントを表示する

CV を有効にすると、Binary Authorization ポリシーに違反するすべての Pod が定期的に Cloud Logging に記録されます。

これらのログエントリには、次のログ名が含まれています。

logName:"binaryauthorization.googleapis.com%2Fcontinuous_validation"

ログ エクスプローラ

ログ エクスプローラを使用して Cloud Logging で CV イベントを表示するには、次の手順を行います。

  1. [ログ エクスプローラ] に移動

  2. Google Cloud のオペレーション スイートを有効にしたプロジェクト ID を選択します。

  3. 次のクエリを検索クエリボックスに入力します。

    logName:"binaryauthorization.googleapis.com%2Fcontinuous_validation"

  4. 時間範囲セレクタで期間を選択します。

以前のログビューア

ログ エクスプローラを使用して Cloud Logging で CV イベントを表示するには、次の手順を行います。

  1. [ログ エクスプローラ] に移動

  2. [オプション] プルダウン メニューから [以前のログビューアに戻る] を選択します。

  3. Google Cloud のオペレーション スイートを設定した Google Cloud プロジェクトを選択します。

  4. 次のクエリを検索クエリボックスに入力します。

    logName:"binaryauthorization.googleapis.com%2Fcontinuous_validation"

  5. 時間範囲セレクタで期間を選択します。

gcloud

gcloud を使用して Cloud Logging 内の過去 1 週間の CV イベントを表示するには、次のコマンドを実行します。

gcloud logging read --order="desc" --freshness=7d \
  'logName:"binaryauthorization.googleapis.com%2Fcontinuous_validation"'

次のステップ