Configurar una política con la consola de Google Cloud

En esta página se proporcionan instrucciones para configurar una política de autorización binaria mediante la consola de Google Cloud . También puede realizar estas tareas con Google Cloud CLI o la API REST. Este paso forma parte de la configuración de la autorización binaria.

Una política es un conjunto de reglas que rigen el despliegue de una o varias imágenes de contenedor.

Antes de empezar

  1. Habilita la autorización binaria.

  2. Habilita la autorización binaria en tu plataforma:

  3. Si tienes intención de usar atestaciones, te recomendamos que crees atestadores antes de configurar la política. Puedes crear attestors mediante la Google Cloud consola o con una herramienta de línea de comandos.

  4. Selecciona el ID del proyecto en el que has habilitado Autorización binaria.

Definir la regla predeterminada

Esta sección se aplica a GKE, GKE Multi-Cloud, Distributed Cloud, Cloud Run y Cloud Service Mesh.

Una regla es la parte de una política que define las restricciones que deben cumplir las imágenes para poder desplegarse. La regla predeterminada define las restricciones que se aplican a todas las imágenes de contenedor no exentas que no tienen sus propias reglas específicas del clúster. Todas las políticas tienen una regla predeterminada.

Para definir la regla predeterminada, siga estos pasos:

  1. En la Google Cloud consola, ve a la página Autorización binaria.

    Ir a la página Autorización binaria

  2. Haga clic en la pestaña Política.

  3. Haz clic en Editar política.

  4. Define el modo de evaluación de la regla predeterminada.

    El modo de evaluación especifica el tipo de restricción que aplica la autorización binaria en el momento de la implementación. Para definir el modo de evaluación, selecciona una de las siguientes opciones:

    • Permitir todas las imágenes: permite que se implementen todas las imágenes.
    • Deny all images (Denegar todas las imágenes): no permite que se implementen imágenes.
    • Permitir solo las imágenes que hayan aprobado los siguientes certificadores: permite desplegar una imagen si tiene una o varias certificaciones que puedan verificar todos los certificadores que añadas a esta regla. Para obtener información sobre cómo crear verificadores, consulta Crear verificadores.

    Si has seleccionado Permitir solo imágenes que hayan sido aprobadas por los siguientes certificadores:

    1. Obtén el nombre o el ID de recurso de tu encargado de la atestación.

      En la consola Google Cloud , en la página Attestors (Certificadores), puedes ver los certificadores que ya tienes o crear uno.

      Ir a la página Encargados de la atestación de autorización binaria

    2. Haz clic en Añadir verificadores.

    3. Selecciona una de las opciones siguientes:

      • Añadir por proyecto y nombre de encargado de la atestación

        El proyecto hace referencia al ID del proyecto que almacena tus certificadores. Un ejemplo de nombre de encargado de la atestación es build-qa.

      • Añadir por ID de recurso de encargado de la atestación

        Un ID de recurso tiene el siguiente formato:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME

    4. En Attestors, introduce los valores adecuados para la opción que hayas seleccionado.

    5. Haga clic en Añadir otro certificador si quiere añadir más certificadores.

    6. Haz clic en Añadir certificador(es) para guardar la regla.

Si quiere habilitar el modo de prueba, siga estos pasos:

  1. Selecciona Modo de ejecución de prueba.

  2. Haz clic en Save Policy.

Definir reglas específicas del clúster (opcional)

Esta sección se aplica a GKE, Distributed Cloud y Cloud Service Mesh.

Una política también puede tener una o varias reglas específicas de clúster. Este tipo de regla se aplica a las imágenes de contenedor que se van a desplegar solo en clústeres específicos de Google Kubernetes Engine (GKE). Las reglas específicas del clúster son una parte opcional de una política.

Añadir una regla específica del clúster (GKE)

Esta sección se aplica a GKE y Distributed Cloud.

Para añadir una regla específica de un clúster de GKE, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Autorización binaria.

    Ir a la página Autorización binaria

  2. Haga clic en la pestaña Política.

  3. Haz clic en Editar política.

  4. Despliega la sección Configuración adicional para las implementaciones de GKE.

  5. Si no se ha definido ningún tipo de regla específico, haga clic en Crear reglas específicas.

    1. Para seleccionar el tipo de regla, haz clic en Tipo de regla específica.

    2. Para cambiar el tipo de regla, haz clic en Cambiar.

  6. Haz clic en Añadir regla específica.

  7. En el campo ID de recurso de clúster, introduce el ID de recurso del clúster.

    El ID de recurso del clúster tiene el formato LOCATION.NAME, por ejemplo, us-central1-a.test-cluster.

  8. Define el modo de evaluación de la regla predeterminada.

    El modo de evaluación especifica el tipo de restricción que aplica la autorización binaria en el momento de la implementación. Para definir el modo de evaluación, selecciona una de las siguientes opciones:

    • Permitir todas las imágenes: permite que se implementen todas las imágenes.
    • Deny all images (Denegar todas las imágenes): no permite que se implementen imágenes.
    • Permitir solo las imágenes que hayan aprobado los siguientes certificadores: permite desplegar una imagen si tiene una o varias certificaciones que puedan verificar todos los certificadores que añadas a esta regla. Para obtener información sobre cómo crear verificadores, consulta Crear verificadores.

    Si has seleccionado Permitir solo imágenes que hayan sido aprobadas por los siguientes certificadores:

    1. Obtén el nombre o el ID de recurso de tu encargado de la atestación.

      En la consola Google Cloud , en la página Attestors (Certificadores), puedes ver los certificadores que ya tienes o crear uno.

      Ir a la página Encargados de la atestación de autorización binaria

    2. Haz clic en Añadir verificadores.

    3. Selecciona una de las opciones siguientes:

      • Añadir por proyecto y nombre de encargado de la atestación

        El proyecto hace referencia al ID del proyecto que almacena tus certificadores. Un ejemplo de nombre de encargado de la atestación es build-qa.

      • Añadir por ID de recurso de encargado de la atestación

        Un ID de recurso tiene el siguiente formato:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME

    4. En Attestors, introduce los valores adecuados para la opción que hayas seleccionado.

    5. Haga clic en Añadir otro certificador si quiere añadir más certificadores.

    6. Haz clic en Añadir certificador(es) para guardar la regla.

  9. Haz clic en Añadir para añadir la regla específica del clúster.

    Es posible que veas un mensaje que diga "Parece que este clúster no existe. Esta regla seguirá aplicándose si el clúster está disponible en GKE en un futuro." Si es así, vuelve a hacer clic en Añadir para guardar la regla.

  10. Si quieres habilitar el modo de ejecución de prueba, selecciona Modo de ejecución de prueba.

  11. Haz clic en Save Policy.

Añadir una regla específica del clúster (GKE Multi-Cloud,Distributed Cloud)

Esta sección se aplica a Distributed Cloud.

Para añadir una regla específica de un clúster de GKE, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Autorización binaria.

    Ir a la página Autorización binaria

  2. Haga clic en la pestaña Política.

  3. Haz clic en Editar política.

  4. Despliega la sección Configuración adicional para las implementaciones de GKE.

  5. Si no se ha definido ningún tipo de regla específico, haga clic en Crear reglas específicas.

    1. Para seleccionar el tipo de regla, haz clic en Tipo de regla específica.

    2. Para actualizar el tipo de regla, haz clic en Cambiar.

  6. Haz clic en Añadir regla específica.

  7. En el campo ID de recurso de clúster, introduce el ID de recurso del clúster.

    • En el caso de los clústeres de GKE adjuntos y GKE en AWS, el formato es CLUSTER_LOCATION.CLUSTER_NAME, por ejemplo, us-central1-a.test-cluster.
    • En Google Distributed Cloud y Google Distributed Cloud, el formato es FLEET_MEMBERSHIP_LOCATION.FLEET_MEMBERSHIP_ID. Por ejemplo, global.test-membership.

  8. Define el modo de evaluación de la regla predeterminada.

    El modo de evaluación especifica el tipo de restricción que aplica la autorización binaria en el momento de la implementación. Para definir el modo de evaluación, selecciona una de las siguientes opciones:

    • Permitir todas las imágenes: permite que se implementen todas las imágenes.
    • Deny all images (Denegar todas las imágenes): no permite que se implementen imágenes.
    • Permitir solo las imágenes que hayan aprobado los siguientes certificadores: permite desplegar una imagen si tiene una o varias certificaciones que puedan verificar todos los certificadores que añadas a esta regla. Para obtener información sobre cómo crear verificadores, consulta Crear verificadores.

    Si has seleccionado Permitir solo imágenes que hayan sido aprobadas por los siguientes certificadores:

    1. Obtén el nombre o el ID de recurso de tu encargado de la atestación.

      En la consola Google Cloud , en la página Attestors (Certificadores), puedes ver los certificadores que ya tienes o crear uno.

      Ir a la página Encargados de la atestación de autorización binaria

    2. Haz clic en Añadir verificadores.

    3. Selecciona una de las opciones siguientes:

      • Añadir por proyecto y nombre de encargado de la atestación

        El proyecto hace referencia al ID del proyecto que almacena tus certificadores. Un ejemplo de nombre de encargado de la atestación es build-qa.

      • Añadir por ID de recurso de encargado de la atestación

        Un ID de recurso tiene el siguiente formato:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME

    4. En Attestors, introduce los valores adecuados para la opción que hayas seleccionado.

    5. Haga clic en Añadir otro certificador si quiere añadir más certificadores.

    6. Haz clic en Añadir certificador(es) para guardar la regla.

  9. Haz clic en Añadir para guardar la regla.

    Es posible que veas un mensaje que diga "Parece que este clúster no existe. Esta regla seguirá aplicándose si el clúster especificado está disponible en GKE en un futuro." En este caso, vuelve a hacer clic en Añadir para guardar la regla.

  10. Si quieres habilitar el modo de ejecución de prueba, selecciona Modo de ejecución de prueba.

  11. Haz clic en Save Policy.

Añadir reglas específicas

Puedes crear reglas que se limiten a una identidad de servicio de malla, una cuenta de servicio de Kubernetes o un espacio de nombres de Kubernetes. Para añadir o modificar una regla específica, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Autorización binaria.

    Ir a la página Autorización binaria

  2. Haga clic en la pestaña Política.

  3. Haz clic en Editar política.

  4. Despliega la sección Configuración adicional para las implementaciones de GKE y Anthos.

  5. Si no se ha definido ningún tipo de regla específico, haga clic en Crear reglas específicas.

    1. Haga clic en Tipo de regla específico para seleccionar el tipo de regla.

    2. Haz clic en Cambiar para actualizar el tipo de regla.

  6. Si el tipo de regla específico existe, puedes cambiarlo haciendo clic en Editar tipo.

  7. Para añadir una regla específica, haz clic en Añadir regla específica. En función del tipo de regla que elijas, debes introducir un ID de la siguiente manera:

    • Identidad de servicio de ASM: introduce tu identidad de servicio de ASM, que tiene el siguiente formato: PROJECT_ID.svc.id.goog/ns/NAMESPACE/sa/SERVICE_ACCOUNT
    • Cuenta de servicio de Kubernetes: introduce tu cuenta de servicio de Kubernetes, que tiene el siguiente formato: NAMESPACE:SERVICE_ACCOUNT.
    • Espacio de nombres de Kubernetes: introduce tu espacio de nombres de Kubernetes, que tiene el siguiente formato: NAMESPACE

    Sustituye los siguientes valores según sea necesario en función del tipo de regla:

    • PROJECT_ID: el ID del proyecto en el que defines tus recursos de Kubernetes.
    • NAMESPACE: el espacio de nombres de Kubernetes.
    • SERVICE_ACCOUNT: la cuenta de servicio.

  8. Define el modo de evaluación de la regla predeterminada.

    El modo de evaluación especifica el tipo de restricción que aplica la autorización binaria en el momento de la implementación. Para definir el modo de evaluación, selecciona una de las siguientes opciones:

    • Permitir todas las imágenes: permite que se implementen todas las imágenes.
    • Deny all images (Denegar todas las imágenes): no permite que se implementen imágenes.
    • Permitir solo las imágenes que hayan aprobado los siguientes certificadores: permite desplegar una imagen si tiene una o varias certificaciones que puedan verificar todos los certificadores que añadas a esta regla. Para obtener información sobre cómo crear verificadores, consulta Crear verificadores.

    Si has seleccionado Permitir solo imágenes que hayan sido aprobadas por los siguientes certificadores:

    1. Obtén el nombre o el ID de recurso de tu encargado de la atestación.

      En la consola Google Cloud , en la página Attestors (Certificadores), puedes ver los certificadores que ya tienes o crear uno.

      Ir a la página Encargados de la atestación de autorización binaria

    2. Haz clic en Añadir verificadores.

    3. Selecciona una de las opciones siguientes:

      • Añadir por proyecto y nombre de encargado de la atestación

        El proyecto hace referencia al ID del proyecto que almacena tus certificadores. Un ejemplo de nombre de encargado de la atestación es build-qa.

      • Añadir por ID de recurso de encargado de la atestación

        Un ID de recurso tiene el siguiente formato:

        projects/PROJECT_ID/attestors/ATTESTOR_NAME

    4. En Attestors, introduce los valores adecuados para la opción que hayas seleccionado.

    5. Haga clic en Añadir otro certificador si quiere añadir más certificadores.

    6. Haz clic en Añadir certificador(es) para guardar la regla.

  9. Haz clic en Modo de ejecución de prueba para habilitar el modo de ejecución de prueba.

  10. Haz clic en Añadir para guardar la regla específica.

  11. Haz clic en Save Policy.

Gestionar imágenes exentas

Esta sección se aplica a GKE, Distributed Cloud, Cloud Run y Cloud Service Mesh.

Una imagen exenta es una imagen, especificada por una ruta, que no está sujeta a las reglas de las políticas. La autorización binaria siempre permite que se desplieguen imágenes exentas.

Esta ruta puede especificar una ubicación en Container Registry o en otro registro de imágenes de contenedor.

Cloud Run

Esta sección se aplica a Cloud Run.

No puedes especificar directamente nombres de imágenes que contengan una etiqueta. Por ejemplo, no puedes especificar IMAGE_PATH:latest.

Si quieres especificar nombres de imágenes que contengan etiquetas, debes hacerlo con un comodín, como se indica a continuación:

  • * para todas las versiones de una misma imagen. Por ejemplo, us-docker.pkg.dev/myproject/container/hello@*
  • ** para todas las imágenes de un proyecto. Por ejemplo, us-docker.pkg.dev/myproject/**

Puedes usar nombres de ruta para especificar un resumen con el formato IMAGE_PATH@DIGEST.

Habilita la política del sistema.

Esta sección se aplica a GKE y Distributed Cloud.

Confiar en todas las imágenes del sistema proporcionadas por Google es un ajuste de política que habilita la política del sistema de autorización binaria. Si se habilita este ajuste en el momento del despliegue, la autorización binaria eximirá de la evaluación de políticas a una lista de imágenes del sistema mantenidas por Google que GKE necesita. La política del sistema se evalúa antes que cualquier otro ajuste de política.

Para habilitar la política del sistema, haz lo siguiente:

  1. Ve a la página Autorización binaria de la Google Cloud consola.

    Ir a Autorización binaria

  2. Haz clic en Editar política.

  3. Despliega la sección Configuración adicional para las implementaciones de GKE y Anthos.

  4. Selecciona Confiar en todas las imágenes del sistema proporcionadas por Google en la sección Exención de imagen del sistema de Google.

    Para ver las imágenes que se han excluido de la política del sistema, haga clic en Ver detalles.

    .

  5. Para especificar manualmente imágenes exentas adicionales, despliega la sección Reglas de exención personalizadas en Imágenes exentas de esta política.

    A continuación, haz clic en Añadir patrón de imagen e introduce la ruta del registro de cualquier imagen adicional que quieras excluir.

  6. Haz clic en Save Policy.

Siguientes pasos