Attestierungen – Übersicht

In diesem Leitfaden wird beschrieben, wie Sie Attestierungen für Binärautorisierungen erstellen und verwenden. Nachdem ein Container-Image erstellt wurde, kann eine Attestierung erstellt werden, um zu bestätigen, dass für das Image eine erforderliche Aktivität wie ein Regressionstest, ein Scannen auf Sicherheitslücken oder ein anderer Test ausgeführt wurde. Die Attestierung wird erstellt, indem der eindeutige Digest des Images signiert wird.

Während der Bereitstellung hat die Binärautorisierung nicht die Aktivitäten wiederholt, sondern die Attestierungen mithilfe eines Attestierers. Wenn alle Attestierungen für ein Image geprüft wurden, ermöglicht die Binärautorisierung die Bereitstellung des Images.

Hinweis

Aktivieren Sie die Binärautorisierung.
Richten Sie die Binärautorisierung mit einem der folgenden Produkte ein:

Cloud Service Mesh-Nutzer müssen nur die Richtlinie für die Binärautorisierung einrichten. Weitere Informationen dazu finden Sie weiter unten in dieser Anleitung unter Richtlinie konfigurieren.

Attestierer erstellen

Wenn Sie Attestierungen verwenden möchten, erstellen Sie zuerst Attestierer. Bei der Bereitstellung verwendet die Binärautorisierung Attestierer, um die mit dem Container-Image verknüpfte Attestierung zu prüfen.

Sie können Attestierer mit den folgenden Methoden erstellen:

Die Google Cloud CLI
Die Google Cloud Console

Richtlinienregel so konfigurieren, dass Attestierungen erforderlich sind

In diesem Abschnitt wird beschrieben, wie Sie die Richtlinie so konfigurieren, dass Attestierungen erforderlich sind.

GKE

Konfigurieren Sie die Standardregel so, dass Attestierungen mithilfe der folgenden Methoden erforderlich sind:
- Die Google Cloud Console
- Das Befehlszeilentool
Konfigurieren Sie eine clusterspezifische Regel, die Attestierungen mithilfe der folgenden Methoden erfordert:
- Die Google Cloud Console
- Das Befehlszeilentool

Cloud Run

Konfigurieren Sie die Standardregel so, dass Attestierungen mithilfe einer der folgenden Methoden erforderlich sind:

Distributed Cloud

Konfigurieren Sie die Standardregel so, dass Attestierungen mithilfe der folgenden Methoden erforderlich sind:
- Die Google Cloud Console
- Das Befehlszeilentool
Konfigurieren Sie eine clusterspezifische Regel, um Attestierungen mithilfe der folgenden Methoden anzufordern:
- Die Google Cloud Console
- Das Befehlszeilentool

Cloud Service Mesh

Cloud Service MeshVorschau Nutzer können Regeln erstellen – einschließlich Regeln, die Attestierungen erfordern –, die entweder auf eine Mesh-Dienstidentität, ein Kubernetes-Dienstkonto oder einen Kubernetes-Namespace beschränkt sind.

Führen Sie die folgenden Methoden aus, um eine bestimmte Regel zu konfigurieren:

Die Google Cloud Console
Das Befehlszeilentool

Attestierungen erstellen

Attestierungen werden von einem Signer erstellt. Das Erstellen einer Attestierung wird auch als Signieren eines Images bezeichnet. Ein Signer kann eine Person sein, die manuell eine Attestierung erstellt. Alternativ kann ein Signaturgeber ein automatisierter Dienst sein. Eine Anleitung zur Beschreibung der verschiedenen Ansätze zum Erstellen von Attestierungen finden Sie auf den folgenden Seiten:

Ein Image bereitstellen

Nachdem Sie eine Attestierung erstellt haben, können Sie das zugehörige Image bereitstellen.

Cloud Service Mesh

Cloud Service Mesh-Arbeitslasten werden erzwungen, sobald die Richtlinie gespeichert wird.

Attestierungen – Übersicht Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Hinweis

Attestierer erstellen

Richtlinienregel so konfigurieren, dass Attestierungen erforderlich sind

GKE

Cloud Run

Distributed Cloud

Cloud Service Mesh

Attestierungen erstellen

Ein Image bereitstellen

GKE

Cloud Run

Distributed Cloud

Cloud Service Mesh

Nächste Schritte

Attestierungen – Übersicht