Descripción general de las certificaciones

En esta guía, se describe cómo crear y usar certificaciones de autorización binaria. Después de compilar una imagen de contenedor, se puede crear una certificación para confirmar que se realizó una actividad obligatoria en la imagen, como una prueba de regresión, un análisis de vulnerabilidades o alguna otra prueba. La certificación se crea mediante la firma del resumen único de la imagen.

Durante la implementación, en lugar de repetir las actividades, la autorización binaria verifica las certificaciones mediante un certificador. Si se verifican todas las certificaciones de una imagen, la autorización binaria permite implementar la imagen.

Antes de comenzar

  1. Habilitar la autorización binaria.

  2. Configura la autorización binaria con uno de los siguientes productos:

Los usuarios de Cloud Service Mesh solo deben configurar la política de Autorización Binaria. Para hacerlo, consulta Configura una política más adelante en esta guía.

Crea un certificador

Para usar certificaciones, primero debes crear certificadores. En el momento de la implementación, la autorización binaria usa certificadores para verificar la certificación asociada con la imagen de contenedor.

Puedes crear certificadores mediante los siguientes métodos:

Configura una regla de política para que exija certificaciones

En esta sección, se describe cómo configurar la política para requerir certificaciones.

GKE

Cloud Run

Configura la regla predeterminada para que exija certificaciones mediante uno de los siguientes métodos:

Distributed Cloud

Cloud Service Mesh

Los usuarios de Cloud Service Mesh pueden crear reglas, incluidas reglas que requieran certificaciones, que tengan un alcance de una identidad de servicio de malla, una cuenta de servicio de Kubernetes o un espacio de nombres de Kubernetes.

Para configurar una regla específica, usa los siguientes métodos:

Crea certificaciones

Un signer crea las certificaciones. El proceso de creación de una certificación también se conoce como firmar una imagen. Un firmante puede ser una persona que crea una certificación de forma manual. Como alternativa, un firmante puede ser un servicio automatizado. Si deseas obtener instrucciones que describen diferentes enfoques para crear certificaciones, consulta las siguientes páginas:

Implementa una imagen

Después de crear una certificación, estás listo para implementar la imagen asociada.

GKE

Implementa imágenes con GKE.

Cloud Run

Implementa imágenes con Cloud Run.

Distributed Cloud

Implementa imágenes con Distributed Cloud.

Cloud Service Mesh

Las cargas de trabajo de Cloud Service Mesh se aplican apenas se guarda la política.

¿Qué sigue?