Attiva Autorizzazione binaria

Per abilitare Autorizzazione binaria per i cluster collegati a GKE, segui questi passaggi:

1. Abilita l'API Binary Authorization nel tuo progetto:

   gcloud services enable binaryauthorization.googleapis.com \
     --project=PROJECT_ID
   

   Sostituisci PROJECT_ID con l'ID del tuo progetto Google Cloud .

2. Concedi il ruolo binaryauthorization.policyEvaluator al account di servizio Kubernetes associato all'agente Autorizzazione binaria:

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
     --role="roles/binaryauthorization.policyEvaluator"
   

3. Abilita Autorizzazione binaria durante la registrazione o l'aggiornamento di un cluster.

   Registra un cluster

   Per abilitare Autorizzazione binaria durante la registrazione di un cluster, utilizza il comando gcloud container attached clusters register. Segui le istruzioni riportate in collega il cluster AKS e includi l'argomento facoltativo --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:

   gcloud container attached clusters register CLUSTER_NAME \
     ...
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   Sostituisci CLUSTER_NAME con il nome del cluster.

   Aggiorna un cluster

   Per abilitare Autorizzazione binaria durante l'aggiornamento di un cluster, utilizza il comando gcloud container attached clusters update. Segui le istruzioni riportate in Aggiorna il cluster AKS e includi l'argomento facoltativo --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:

   gcloud container attached clusters update CLUSTER_NAME \
     ...
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   Sostituisci CLUSTER_NAME con il nome del cluster.

Se segui questi passaggi, ti assicuri che vengano utilizzate solo immagini attendibili e verificate per creare container Kubernetes nei cluster GKE. In questo modo si mantiene un ambiente sicuro per le tue applicazioni.

Configurare i criteri

L'attivazione di Autorizzazione binaria da sola non protegge automaticamente il cluster. Per impostazione predefinita, consente il deployment di tutte le immagini container se non è configurato alcun criterio. Ciò significa che per proteggere efficacemente il cluster, devi definire e applicare un criterio che specifichi quali immagini sono consentite. Per scoprire come configurare un criterio di autorizzazione binaria, consulta Configurare un criterio utilizzando Google Cloud CLI.