Cómo habilitar la autorización binaria

Para habilitar la autorización binaria para GKE en AWS, sigue estos pasos:

  1. Habilita la API de autorización binaria en tu proyecto:

    gcloud services enable binaryauthorization.googleapis.com \
  --project=PROJECT_ID

    Sustituye PROJECT_ID por el ID de tuGoogle Cloud proyecto.

  2. Asigna el rol binaryauthorization.policyEvaluator a la cuenta de servicio de Kubernetes asociada al agente de Autorización binaria:

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
  --role="roles/binaryauthorization.policyEvaluator"

  3. Habilita la autorización binaria al crear o actualizar un clúster. Asegúrate de incluir la marca --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE, ya que esta marca habilita la autorización binaria:

    Crear un clúster 

    gcloud container aws clusters create CLUSTER_NAME \
  --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

    Sustituye CLUSTER_NAME por el nombre de tu clúster.

    Actualizar un clúster 

    gcloud container aws clusters update CLUSTER_NAME \
  --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

    Sustituye CLUSTER_NAME por el nombre de tu clúster.

Si sigues estos pasos, te asegurarás de que solo se usen imágenes verificadas y de confianza para crear contenedores de Kubernetes en tus clústeres de GKE. Esto ayuda a mantener un entorno seguro para tus aplicaciones.