Cómo habilitar una Autorización Binaria

A fin de habilitar la autorización binaria para GKE en AWS, sigue estos pasos:

  1. Habilita la API de Autorización Binaria en tu proyecto.

    gcloud services enable binaryauthorization.googleapis.com \
      --project=PROJECT_ID
    

    Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud.

  2. Otorga el rol binaryauthorization.policyEvaluator a la cuenta de servicio de Kubernetes asociada con el agente de Autorización Binaria:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
      --role="roles/binaryauthorization.policyEvaluator"
    
  3. Habilita la autorización binaria cuando crees o actualices un clúster. Asegúrate de incluir la marca --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE, ya que esta marca habilita la autorización binaria:

    Crear un clúster

    gcloud container aws clusters create CLUSTER_NAME \
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    Reemplaza CLUSTER_NAME por el nombre del clúster.

    Actualiza un clúster

    gcloud container aws clusters update CLUSTER_NAME \
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    Reemplaza CLUSTER_NAME por el nombre del clúster.

Si sigues estos pasos, te aseguras de que solo se usen imágenes confiables y verificadas para crear contenedores de Kubernetes en tus clústeres de GKE. Esto ayuda a mantener un entorno seguro para tus aplicaciones.