Habilitar autorización binaria

Para habilitar Autorización Binaria para clústeres conectados de GKE, sigue estos pasos:

  1. Habilita la API de Binary Authorization en tu proyecto:

    gcloud services enable binaryauthorization.googleapis.com \
      --project=PROJECT_ID
    

    Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud.

  2. Otorga el rol binaryauthorization.policyEvaluator a la cuenta de servicio de Kubernetes asociada con el agente de Autorización Binaria:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
      --role="roles/binaryauthorization.policyEvaluator"
    
  3. Habilita la autorización binaria cuando registres o actualices un clúster.

    Registra un clúster

    Para habilitar la autorización binaria cuando registras un clúster, usa el comando gcloud container attached clusters register. Sigue las instrucciones en Conecta tu clúster de EKS y, luego, incluye el argumento opcional --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:

    gcloud container attached clusters register CLUSTER_NAME \
      ...
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    Reemplaza CLUSTER_NAME por el nombre del clúster.

    Actualiza un clúster

    Para habilitar la autorización binaria cuando actualizas un clúster, usa el comando gcloud container attached clusters update. Sigue las instrucciones en actualiza tu clúster de EKS y, luego, incluye el argumento opcional --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:

    gcloud container attached clusters update CLUSTER_NAME \
      ...
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    Reemplaza CLUSTER_NAME por el nombre del clúster.

Si sigues estos pasos, te aseguras de que solo se usen imágenes confiables y verificadas para crear contenedores de Kubernetes en tus clústeres de GKE. Esto ayuda a mantener un entorno seguro para tus aplicaciones.