CAI 制約を作成する

始める前に

• ポリシー ライブラリを作成します。

制約フレームワーク

gcloud beta terraform vet は制約フレームワーク ポリシーを使用します。これは、制約と制約テンプレートで構成されます。この 2 つの違いは次のとおりです。

• 制約テンプレートは関数宣言に似ています。Rego でルールを定義し、必要に応じて入力パラメータを受け取ります。
• 制約は、制約テンプレートを参照し、それに渡す入力パラメータとポリシーの対象となるリソースを定義するファイルです。

これにより、繰り返しを回避できます。一般的なポリシーを使用して制約テンプレートを作成した後、任意の数の制約を作成し、さまざまな入力パラメータやリソース マッチング ルールを指定できます。

CAI アセットと Terraform リソース

Cloud Asset Inventory アセットは、多くの Google Cloud のリソースで使用できる標準の Google データ エクスポート形式です。CAI データは通常、リソースの作成または更新後にのみ使用できます。ただし、Terraform リソースの変更を CAI アセットデータに変換すると、gcloud beta terraform vet でポリシーを 1 回だけ記述し、適用前と互換性のあるツールの監査チェックの両方で使用できます。

互換性のあるツール

次のツールは Google の公式サービスではないため、サポートの対象外です。ただし、gcloud beta terraform vet で作成されたポリシーと互換性がある場合もあります。

• CFT スコアカード
• Forseti

制約テンプレートを作成する

制約テンプレートを開発する前に、ポリシーを作成するアセットが Cloud Asset Inventory と gcloud beta terraform vet の両方でサポートされていることを確認します。

制約テンプレートの作成手順は次のとおりです。

1. サンプルデータを収集します。
2. Rego を作成します。
3. Rego をテストします。
4. 制約テンプレートのスケルトンを設定します。
5. Rego をインライン化します。
6. 制約を設定します。

サンプルデータを収集する

制約テンプレートを作成するには、サンプルデータが必要です。CAI ベースの制約は、CAI アセットデータに対して機能します。CAI クイックスタートで説明されているように、適切なタイプのリソースを作成し、それらのリソースを JSON としてエクスポートすることで、サンプルデータを収集します。

Compute アドレス用の JSON エクスポートの例を次に示します。

[
  {
    "name": "//compute.googleapis.com/projects/789/regions/us-central1/addresses/my-internal-address",
    "asset_type": "compute.googleapis.com/Address",
    "ancestors: [
      "organization/123",
      "folder/456",
      "project/789"
    ],
    "resource": {
      "version": "v1",
      "discovery_document_uri": "https://www.googleapis.com/discovery/v1/apis/compute/v1/rest",
      "discovery_name": "Address",
      "parent": "//cloudresourcemanager.googleapis.com/projects/789",
      "data": {
        "address": "10.0.42.42",
        "addressType": "INTERNAL",
        "name": "my-internal-address",
        "region": "projects/789/global/regions/us-central1"
      }
    }
  },
]

Rego を作成する

サンプルデータを取得したら、制約テンプレートのロジックを Rego で作成できます。Rego には violations ルールが必要です。審査中のアセットは input.review として利用できます。制約パラメータは input.parameters として使用できます。たとえば、compute.googleapis.com/Address アセットに addressType が許可されるようにするには、次のように記述します。

# validator/gcp_compute_address_address_type_allowlist_constraint_v1.rego
package templates.gcp.GCPComputeAddressAddressTypeAllowlistConstraintV1

violation[{
  "msg": message,
  "details": metadata,
}] {
  asset := input.review
  asset.asset_type == "compute.googleapis.com/Address"

  allowed_address_types := input.parameters.allowed_address_types
  count({asset.resource.data.addressType} & allowed_address_types) >= 1
  message := sprintf(
    "Compute address %s has a disallowed address_type: %s",
    [asset.name, asset.resource.data.addressType]
  )
  metadata := {"asset": asset.name}
}

制約テンプレートの名前を指定する

上記の例では、GCPComputeAddressAddressTypeAllowlistConstraintV1 という名前を使用しています。これは、各制約テンプレートの固有識別子です。命名のガイドラインに従うことをおすすめします。

• 一般的な形式: GCP{resource}{feature}Constraint{version}キャメルケースを使用してください（つまり、各単語の先頭を大文字にします）。
• 単一リソースの制約については、gcloud グループ名のリソース命名規則に従います。たとえば、「gce」の代わりに「compute」、「cloud-sql」の代わりに「sql」、「gke」の代わりに「container-cluster」を使用します。
• テンプレートが複数のタイプのリソースに適用される場合は、リソースの部分を省略し、機能のみを含めます（例: GCPAddressTypeAllowlistConstraintV1）。
• バージョン番号が semver 形式に準拠していません。これは 1 個の数字です。これにより、テンプレートのすべてのバージョンを効率的に一意のテンプレートにすることができます。

制約テンプレート名と一致する Rego ファイルの名前を使用することをおすすめしますが、スネークケースを使用します。つまり、名前を _ を使って小文字の個別の単語に変換します。上記の例では、推奨されるファイル名は gcp_compute_address_address_type_allowlist_constraint_v1.rego です。

Rego をテストする

Rego を手動でテストするには、Rego Playground を使用します。機密でないデータを使用してください。

自動テストを作成することをおすすめします。収集したサンプルデータを validator/test/fixtures/<constraint filename>/assets/data.json に配置し、次のようにテストファイルで参照します。

# validator/gcp_compute_address_address_type_allowlist_constraint_v1_test.rego
package templates.gcp.GCPComputeAddressAddressTypeAllowlistConstraintV1

import data.test.fixtures.gcp_compute_address_address_type_allowlist_constraint_v1_test.assets as assets

test_violation_with_disallowed_address_type {
  parameters := {
    "allowed_address_types": "EXTERNAL"
  }
  violations := violation with input.review as assets[_]
    with input.parameters as parameters
  count(violations) == 1
}

Rego とテストをポリシー ライブラリの validator フォルダに配置します。

制約テンプレートのスケルトンを設定する

作業中の Rego ルールのテストが完了したら、これを制約テンプレートとしてパッケージ化する必要があります。制約フレームワークでは、ポリシー Rego のコンテナとして Kubernetes カスタム リソース定義を使用します。

制約テンプレートは、OpenAPI V3 スキーマを使用して、制約からの入力として許可するパラメータも定義します。

Rego で使用したものと同じ名前をスケルトンに使用してください。具体的には次のとおりです。

• Rego と同じファイル名を使用します。例: gcp_compute_address_address_type_allowlist_constraint_v1.yaml
• spec.crd.spec.names.kind はテンプレート名です。
• metadata.name にはテンプレート名を含めます。ただし、小文字で指定してください。

制約テンプレートのスケルトンを policies/templates に配置します。

上記の例では、次のようになります。

# policies/templates/gcp_compute_address_address_type_allowlist_constraint_v1.yaml
apiVersion: templates.gatekeeper.sh/v1beta1
kind: ConstraintTemplate
metadata:
  name: gcpcomputeaddressaddresstypeallowlistconstraintv1
spec:
  crd:
    spec:
      names:
        kind: GCPComputeAddressAddressTypeAllowlistConstraintV1
      validation:
        openAPIV3Schema:
          properties:
            allowed_address_types:
              description: "A list of address_types allowed, for example: ['INTERNAL']"
              type: array
              items:
                type: string
  targets:
    - target: validation.gcp.forsetisecurity.org
      rego: |
            #INLINE("validator/gcp_compute_address_address_type_allowlist_constraint_v1.rego")
            #ENDINLINE

Rego をインライン化する

この時点で、前の例のディレクトリ レイアウトは次のようになります。

| policy-library/
|- validator/
||- gcp_compute_address_address_type_allowlist_constraint_v1.rego
||- gcp_compute_address_address_type_allowlist_constraint_v1_test.rego
|- policies
||- templates
|||- gcp_compute_address_address_type_allowlist_constraint_v1.yaml

Google 提供のポリシー ライブラリ リポジトリのクローンを作成した場合は、make build を実行して、validator で定義された Rego を使用して、policies/templates の制約テンプレートを自動的に更新します。

制約を設定する

制約には、gcloud beta terraform vet が適切に適用され、違反を報告するために必要な 3 つの情報が含まれています。

• severity: low、medium、または high
• match: 制約が特定のリソースに適用されるかどうかを判断するためのパラメータ。次の一致パラメータがサポートされています。
  • ancestries: glob スタイルのマッチングを使用して含める祖先パスのリスト
  • excludedAncestries: （省略可）glob スタイル マッチングを使用して除外する祖先パスのリスト。
• parameters: 制約テンプレートの入力パラメータの値。

kind に制約テンプレート名が含まれていることを確認します。metadata.name には、説明的なスラッグを設定することをおすすめします。

たとえば、前述の制約テンプレートのサンプルを使用して INTERNAL アドレスタイプのみを許可するには、次のように入力します。

# policies/constraints/gcp_compute_address_internal_only.yaml
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GCPComputeAddressAddressTypeAllowlistConstraintV1
metadata:
  name: gcp_compute_address_internal_only
spec:
  severity: high
  match:
    ancestries:
    - "**"
  parameters:
    allowed_address_types:
    - "INTERNAL"

マッチングの例:

リソース アドレスが ancestries と excludedAncestries の値と一致する場合、リソース アドレスは除外されます。

制限事項

Terraform プランデータは、適用後の実際の状態を可能な限り最も適切に表したものです。ただし、多くの場合、適用後の状態はサーバー側で計算されるため、不明になる場合があります。この場合、変換された CAI アセットでもデータを使用できません。

CAI の祖先パスの作成は、ポリシーを検証するプロセスの一部です。提供されているデフォルト プロジェクトを使用して、不明なプロジェクト ID の使用を防ぎます。デフォルト プロジェクトが指定されていない場合、祖先パスのデフォルトは organizations/unknown になります。

不明な祖先を禁止するには、次の制約を追加します。

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GCPAlwaysViolatesConstraintV1
metadata:
  name: disallow_unknown_ancestry
  annotations:
    description: |
      Unknown ancestry is not allowed; use --project=<project> to set a
      default ancestry
spec:
  severity: high
  match:
    ancestries:
    - "organizations/unknown"
  parameters: {}

サポートされているリソース

このリストに含まれていないリソースのサポートを gcloud beta terraform vet に追加する場合は、拡張リクエストを開いてコードの提供を検討してください。

サポートされるリソースのリストは、インストールされている gcloud beta terraform vet のバージョンによって異なります。サポートされているリソースの現在のリストは次のとおりです。