Aktifkan Otorisasi Biner

Guna mengaktifkan Otorisasi Biner untuk cluster terpasang GKE, lakukan langkah-langkah berikut:

  1. Aktifkan Binary Authorization API di project Anda:

    gcloud services enable binaryauthorization.googleapis.com \
      --project=PROJECT_ID
    

    Ganti PROJECT_ID dengan ID project Google Cloud Anda.

  2. Berikan peran binaryauthorization.policyEvaluator ke akun layanan Kubernetes yang terkait dengan agen Otorisasi Biner:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
      --role="roles/binaryauthorization.policyEvaluator"
    
  3. Aktifkan Otorisasi Biner saat mendaftarkan atau memperbarui cluster.

    Mendaftarkan cluster

    Untuk mengaktifkan Otorisasi Biner saat mendaftarkan cluster, gunakan perintah gcloud container attached clusters register. Ikuti petunjuk dalam lampirkan cluster EKS Anda, dan sertakan argumen opsional --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:

    gcloud container attached clusters register CLUSTER_NAME \
      ...
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    Ganti CLUSTER_NAME dengan nama cluster Anda.

    Mengupdate cluster

    Untuk mengaktifkan Otorisasi Biner saat mengupdate cluster, gunakan perintah gcloud container attached clusters update. Ikuti petunjuk dalam mengupdate cluster EKS Anda, dan sertakan argumen opsional --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:

    gcloud container attached clusters update CLUSTER_NAME \
      ...
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    Ganti CLUSTER_NAME dengan nama cluster Anda.

Dengan mengikuti langkah-langkah ini, Anda memastikan bahwa hanya image tepercaya dan terverifikasi yang digunakan untuk membuat container Kubernetes di cluster GKE. Hal ini membantu menjaga lingkungan yang aman untuk aplikasi Anda.