Binärautorisierung aktivieren

Führen Sie die folgenden Schritte aus, um die Binärautorisierung für GKE on AWS zu aktivieren:

1. Aktivieren Sie die Binary Authorization API in Ihrem Projekt:

   gcloud services enable binaryauthorization.googleapis.com \
     --project=PROJECT_ID
   

   Ersetzen Sie PROJECT_ID durch die ID IhresGoogle Cloud -Projekts.

2. Weisen Sie dem Kubernetes-Dienstkonto, das dem Binärautorisierungs-Agent zugeordnet ist, die Rolle binaryauthorization.policyEvaluator zu:

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
     --role="roles/binaryauthorization.policyEvaluator"
   

3. Binärautorisierung beim Erstellen oder Aktualisieren eines Clusters aktivieren. Achten Sie darauf, das Flag --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE einzufügen, da es die Binärautorisierung aktiviert:

   Cluster erstellen

   gcloud container aws clusters create CLUSTER_NAME \
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   Ersetzen Sie CLUSTER_NAME durch den Namen Ihres Clusters.

   Cluster aktualisieren

   gcloud container aws clusters update CLUSTER_NAME \
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   Ersetzen Sie CLUSTER_NAME durch den Namen Ihres Clusters.

Mit diesen Schritten sorgen Sie dafür, dass nur vertrauenswürdige und verifizierte Images zum Erstellen von Kubernetes-Containern in Ihren GKE-Clustern verwendet werden. So erhalten Sie eine sichere Umgebung für Ihre Anwendungen.