Questa pagina fornisce istruzioni su come proteggere i deployment delle immagini in Cloud Run e Google Kubernetes Engine utilizzando Cloud Build.
Scopri come configurare Autorizzazione binaria per verificare le attestazioni di build e bloccare i deployment di immagini non generate da Cloud Build. Questo processo può ridurre il rischio di deployment di software non autorizzato.
Prima di iniziare
Abilita le API Cloud Build, Binary Authorization, and Artifact Registry.
Per utilizzare gli esempi di riga di comando riportati in questa guida, installa e configura Google Cloud SDK.
Controllo dei deployment con Autorizzazione binaria
Un criterio in Autorizzazione binaria è un insieme di regole che governano il deployment delle immagini. Puoi configurare una regola in modo che richieda attestations con firma digitale.
Cloud Build genera e firma attestazioni in fase di creazione. Con Autorizzazione binaria, puoi utilizzare l'attestatore built-by-cloud-build per verificare le attestazioni ed eseguire solo il deployment delle immagini create da Cloud Build.
Per creare l'attestatore built-by-cloud-build nel progetto, esegui una build al suo interno.
Per consentire il deployment solo delle immagini create da Cloud Build, esegui questi passaggi:
Console
Vai alla pagina Autorizzazione binaria nella console Google Cloud:
Nella scheda Norme, fai clic su Modifica norma.
Nella finestra di dialogo Modifica criterio, seleziona Consenti solo le immagini che sono state approvate da tutti i seguenti attestatori.
Fai clic su Aggiungi attestatori.
Nella finestra di dialogo Aggiungi attestatori, procedi nel seguente modo:
- Seleziona Aggiungi per nome progetto e attestatore ed esegui questi
passaggi:
- Nel campo Nome progetto, inserisci il progetto in cui esegui Cloud Build.
- Fai clic sul campo Nome attestatore e tieni presente che l'attestatore
built-by-cloud-buildè disponibile. - Fai clic su
built-by-cloud-build.
In alternativa, seleziona Aggiungi per ID risorsa attestatore. In ID risorsa attestatore, inserisci
projects/PROJECT_ID/attestors/built-by-cloud-buildSostituzione di
PROJECT_IDcon il progetto in cui esegui Cloud Build.
- Seleziona Aggiungi per nome progetto e attestatore ed esegui questi
passaggi:
Fai clic su Aggiungi 1 attestatore.
Fai clic su Save Policy (Salva criterio).
gcloud
Esporta il criterio esistente in un file utilizzando il seguente comando:
gcloud container binauthz policy export > /tmp/policy.yamlModifica il file dei criteri.
Modifica una delle seguenti regole:
defaultAdmissionRuleclusterAdmissionRulesistioServiceIdentityAdmissionRuleskubernetesServiceAccountAdmissionRules
Aggiungi un blocco
requireAttestationsByalla regola se non ne esiste già uno.Nel blocco
requireAttestationsBy, aggiungiprojects/PROJECT_ID/attestors/built-by-cloud-buildSostituzione di
PROJECT_IDcon il progetto in cui esegui Cloud Build.Salva il file dei criteri.
Importa il file dei criteri.
gcloud container binauthz policy import /tmp/policy.yamlQuello che segue è un file dei criteri di esempio che contiene il riferimento a
built-by-cloud-build-attestor:defaultAdmissionRule: evaluationMode: REQUIRE_ATTESTATION enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG requireAttestationsBy: - projects/PROJECT_ID/attestors/built-by-cloud-build name: projects/PROJECT_ID/policySostituisci
PROJECT_IDcon l'ID progetto in cui esegui Cloud Build.
Puoi visualizzare gli errori relativi ai criteri nei messaggi di log di Autorizzazione binaria per GKE o Cloud Run
Utilizzo della modalità di prova
In modalità di prova, Autorizzazione binaria controlla la conformità dei criteri senza bloccare effettivamente il deployment. ma vengono registrati in Cloud Logging. Puoi utilizzare questi log per determinare se il criterio di blocco funziona correttamente e identificare i falsi positivi.
Per abilitare la prova, segui questi passaggi:
Console
Vai alla pagina Autorizzazione binaria nella console Google Cloud.
Fai clic su Modifica criterio.
In Regola predefinita o in una regola specifica, seleziona Modalità di prova.
Fai clic su Save Policy (Salva criterio).
gcloud
Esporta il criterio di Autorizzazione binaria in un file YAML:
gcloud container binauthz policy export > /tmp/policy.yamlIn un editor di testo, imposta
enforcementModesuDRYRUN_AUDIT_LOG_ONLYe salva il file.Per aggiornare il criterio, importa il file eseguendo questo comando:
gcloud container binauthz policy import /tmp/policy.yaml
Puoi visualizzare gli errori relativi ai criteri nei messaggi del log di Autorizzazione binaria per GKE o Cloud Run.
Limitazioni
Cloud Build e Autorizzazione binaria devono essere nello stesso progetto. Se esegui la piattaforma di deployment in un altro progetto, configura i ruoli IAM per una configurazione multiprogetto e fai riferimento al progetto Cloud Build quando aggiungi l'attestatore
built-by-cloud-buildin Autorizzazione binaria.Cloud Build non genera attestazioni quando esegui il push delle immagini ad Artifact Registry utilizzando un passaggio di build
docker pushesplicito. Assicurati di eseguire il push ad Artifact Registry utilizzando il campoimagesnel passaggio di builddocker build. Per ulteriori informazioni suimages, consulta Diversi modi di archiviare le immagini in Artifact Registry.Devi utilizzare file di configurazione di compilazione separati per la pipeline di build e la pipeline di deployment. Questo perché Cloud Build produce attestazioni solo dopo il corretto completamento della pipeline di build. Autorizzazione binaria controllerà quindi l'attestazione prima di eseguire il deployment dell'immagine.
Abilita attestazioni nei pool privati
Per impostazione predefinita, Cloud Build non genera attestazioni di Autorizzazione binaria per le build nei pool privati. Per generare
attestazioni, aggiungi l'opzione requestedVerifyOption: VERIFIED al
file di configurazione della build:
steps:
- name: 'gcr.io/cloud-builders/docker'
args: [ 'build', '-t', 'us-central1-docker.pkg.dev/$PROJECT_ID/quickstart-docker-repo/quickstart-image:tag1', '.' ]
images:
- 'us-central1-docker.pkg.dev/$PROJECT_ID/quickstart-docker-repo/quickstart-image:tag1'
options:
requestedVerifyOption: VERIFIED
Dopo aver aggiunto requestedVerifyOption, Cloud Build consente la generazione di attestazioni e i metadati di prova per la tua immagine.
Visualizza metadati attestatore
Un attestatore viene creato la prima volta che esegui una build in un progetto. L'ID attestatore è nel formato projects/PROJECT_ID/attestors/built-by-cloud-build, dove PROJECT_ID è l'ID progetto.
Puoi controllare i metadati dell'attestatore di build utilizzando il seguente comando:
curl -X GET -H "Content-Type: application/json" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
https://binaryauthorization.googleapis.com/v1beta1/projects/PROJECT_ID/attestors/built-by-cloud-build
Sostituisci PROJECT_ID con il progetto in cui esegui Cloud Build.
L'output contiene informazioni sull'attestatore e sulle chiavi pubbliche corrispondenti. Ad esempio:
name": "projects/PROJECT_ID/attestors/built-by-cloud-build",
"userOwnedDrydockNote": {
"noteReference": "projects/PROJECT_ID/notes/built-by-cloud-build",
"publicKeys": [
{
"id": "//cloudkms.googleapis.com/v1/projects/verified-builder/locations/asia/keyRings/attestor/cryptoKeys/builtByGCB/cryptoKeyVersions/1",
"pkixPublicKey": {
"publicKeyPem": "-----BEGIN PUBLIC KEY-----\nMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEMMvFxZLgIiWOLIXsaTkjTmOKcaK7\neIZrgpWHpHziTFGg8qyEI4S8O2/2wh1Eru7+sj0Sh1QxytN/KE5j3mTvYA==\n-----END PUBLIC KEY-----\n",
"signatureAlgorithm": "ECDSA_P256_SHA256"
}
},
...
}
],
"delegationServiceAccountEmail": "service-942118413832@gcp-binaryauthorization.iam.gserviceaccount.com"
},
"updateTime": "2021-09-24T15:26:44.808914Z",
"description": "Attestor autogenerated by build ID fab07092-30f4-4f70-caf7-4545cbc404d6"