Binary Authorization を有効にする方法

GKE on AWS で Binary Authorization を有効にするには、次の操作を行います。

  1. プロジェクトで Binary Authorization API を有効にします。

    gcloud services enable binaryauthorization.googleapis.com \
      --project=PROJECT_ID
    

    PROJECT_ID は、Google Cloud プロジェクトの ID に置き換えます。

  2. Binary Authorization エージェントに関連付けられた Kubernetes サービス アカウントに binaryauthorization.policyEvaluator ロールを付与します。

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
      --role="roles/binaryauthorization.policyEvaluator"
    
  3. クラスタを作成または更新するときに Binary Authorization を有効にします。--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE フラグが Binary Authorization を有効にするため、このフラグを必ず含めてください。

    クラスタの作成

    gcloud container aws clusters create CLUSTER_NAME \
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    CLUSTER_NAME は、使用するクラスタの名前に置き換えます。

    クラスタの更新

    gcloud container aws clusters update CLUSTER_NAME \
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    CLUSTER_NAME は、使用するクラスタの名前に置き換えます。

これらの操作を行うことで、信頼できる検証済みのイメージのみが GKE クラスタで Kubernetes コンテナの作成に使用されるようになります。これにより、アプリケーションにとって安全な環境を維持できます。