Habilitar la autorización binaria

Para habilitar la autorización binaria en clústeres adjuntos de GKE, sigue estos pasos:

  1. Habilita la API de autorización binaria en tu proyecto:

    gcloud services enable binaryauthorization.googleapis.com \
  --project=PROJECT_ID

    Sustituye PROJECT_ID por el ID de tuGoogle Cloud proyecto.

  2. Asigna el rol binaryauthorization.policyEvaluator a la cuenta de servicio de Kubernetes asociada al agente de Autorización binaria:

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
  --role="roles/binaryauthorization.policyEvaluator"

  3. Habilita la autorización binaria al registrar o actualizar un clúster.

    Registrar un clúster

    Para habilitar la autorización binaria al registrar un clúster, usa el comando gcloud container attached clusters register. Sigue las instrucciones para asociar tu clúster de EKS e incluye el argumento opcional --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:

    gcloud container attached clusters register CLUSTER_NAME \
  ...
  --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

    Sustituye CLUSTER_NAME por el nombre de tu clúster.

    Actualizar un clúster

    Para habilitar la autorización binaria al actualizar un clúster, usa el comando gcloud container attached clusters update. Sigue las instrucciones para actualizar tu clúster de EKS e incluye el argumento opcional --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:

    gcloud container attached clusters update CLUSTER_NAME \
  ...
  --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

    Sustituye CLUSTER_NAME por el nombre de tu clúster.

Si sigues estos pasos, te asegurarás de que solo se usen imágenes verificadas y de confianza para crear contenedores de Kubernetes en tus clústeres de GKE. Esto ayuda a mantener un entorno seguro para tus aplicaciones.

Configurar políticas

Habilitar la autorización binaria por sí sola no protege automáticamente tu clúster. De forma predeterminada, permite que se desplieguen todas las imágenes de contenedor si no se ha configurado ninguna política. Esto significa que, para proteger tu clúster de forma eficaz, debes definir y aplicar una política que especifique qué imágenes están permitidas. Para obtener información sobre cómo configurar una política de autorización binaria, consulta el artículo sobre cómo configurar una política con la CLI de Google Cloud.