Nesta página, mostramos instruções para configurar uma política de autorização binária usando o Console do Google Cloud. Como alternativa, você pode executar essas tarefas usando a Google Cloud CLI ou a API REST. Esta etapa faz parte da configuração da autorização binária.
Uma política é um conjunto de regras que regem a implantação de uma ou mais imagens de contêiner.
Antes de começar
Ative a autorização binária para sua plataforma:
Usuários do Google Kubernetes Engine (GKE): crie um cluster com a autorização binária ativada.
Usuários do Cloud Run: ative a autorização binária no seu serviço.
Se você pretende usar atestados, recomendamos criar atestadores antes de configurar a política. É possível criar atestadores usando o Console do Google Cloud ou por meio de uma ferramenta de linha de comando.
Selecione o ID do projeto em que você ativou a autorização binária.
Definir a regra padrão
Esta seção se aplica às APIs GKE, GKE Multi-Cloud Distributed Cloud, Cloud Run e Cloud Service Mesh
Uma regra é a parte de uma política que define restrições a que as imagens de contêiner precisam atender antes de serem implantadas. A regra padrão define restrições que se aplicam a todas as imagens de contêiner não isentas que não têm as próprias regras específicas do cluster. Cada política tem uma regra padrão.
Para definir a regra padrão, faça o seguinte:
No Console do Google Cloud, acesse a página Autorização binária.
Clique na guia Política.
Clique em Editar política.
Selecione o modo de avaliação da regra padrão.
O modo de avaliação especifica o tipo de restrição que a autorização binária aplica no momento da implantação. Para definir o modo de avaliação, selecione uma das seguintes opções:
- Permitir todas as imagens: permite que todas as imagens sejam implantadas.
- Negar todas as imagens: impede a implantação de todas as imagens.
- Permitir somente imagens aprovadas pelos seguintes atestadores: permite que uma imagem seja implantada se ela tiver um ou mais atestados que possam ser verificados por todos os atestadores que você adicionar a esta regra. Para saber como criar atestadores, consulte Como criar atestadores.
Se você selecionou Permitir somente imagens que foram aprovadas pelos seguintes atestadores:
Encontre o nome ou o ID do recurso do seu atestador.
No Console do Google Cloud, na página Atestadores, é possível visualizar os atestadores existentes ou criar um.
Clique em Adicionar atestadores.
Selecione uma das seguintes opções:
Adicionar por projeto e nome de atestador
O projeto refere-se ao ID do projeto que armazena seus atestadores. Um exemplo de nome de atestador é
build-qa
.Adicionar por código de recurso do atestador
Um ID de recurso tem este formato:
projects/PROJECT_ID/attestors/ATTESTOR_NAME
Em Atestadores, insira o(s) valore(s) apropriado(s) para a opção selecionada.
Clique em Adicionar outro atestador se você quiser adicionar outros atestadores.
Clique em Adicionar atestadores para salvar a regra.
Se você quiser ativar o modo de teste, faça o seguinte:
Selecione Modo de teste.
Clique em Save Policy.
Definir regras específicas do cluster (opcional)
Esta seção se aplica ao GKE, Distributed Cloud e Cloud Service Mesh.
Uma política também pode ter uma ou mais regras específicas do cluster. Esse tipo de regra se aplica a imagens de contêiner que serão implantadas apenas em clusters específicos do Google Kubernetes Engine (GKE). As regras específicas do cluster são uma parte opcional de uma política.
Adicionar uma regra específica do cluster (GKE)
Esta seção se aplica às APIs GKE e Distributed Cloud.
Para adicionar uma regra específica de cluster para um cluster do GKE, faça o seguinte:
No Console do Google Cloud, acesse a página Autorização binária.
Clique na guia Política.
Clique em Editar política.
Expanda a seção Configurações avançadas para implantações do GKE e do GKE Enterprise.
Se nenhum tipo de regra específica for definido, clique em Criar regras específicas.
Para selecionar o tipo de regra, clique em Tipo de regra específica.
Para alterar o tipo de regra, clique em Alterar.
Clique em Adicionar regra específica.
No campo Código do recurso do cluster, insira o código do recurso para o cluster.
O ID do recurso do cluster tem o formato
LOCATION.NAME
, por exemplo,us-central1-a.test-cluster
.Selecione o modo de avaliação da regra padrão.
O modo de avaliação especifica o tipo de restrição que a autorização binária aplica no momento da implantação. Para definir o modo de avaliação, selecione uma das seguintes opções:
- Permitir todas as imagens: permite que todas as imagens sejam implantadas.
- Negar todas as imagens: impede a implantação de todas as imagens.
- Permitir somente imagens aprovadas pelos seguintes atestadores: permite que uma imagem seja implantada se ela tiver um ou mais atestados que possam ser verificados por todos os atestadores que você adicionar a esta regra. Para saber como criar atestadores, consulte Como criar atestadores.
Se você selecionou Permitir somente imagens que foram aprovadas pelos seguintes atestadores:
Encontre o nome ou o ID do recurso do seu atestador.
No Console do Google Cloud, na página Atestadores, é possível visualizar os atestadores existentes ou criar um.
Clique em Adicionar atestadores.
Selecione uma das seguintes opções:
Adicionar por projeto e nome de atestador
O projeto refere-se ao ID do projeto que armazena seus atestadores. Um exemplo de nome de atestador é
build-qa
.Adicionar por código de recurso do atestador
Um ID de recurso tem este formato:
projects/PROJECT_ID/attestors/ATTESTOR_NAME
Em Atestadores, insira o(s) valore(s) apropriado(s) para a opção selecionada.
Clique em Adicionar outro atestador se você quiser adicionar outros atestadores.
Clique em Adicionar atestadores para salvar a regra.
Clique em Adicionar para adicionar a regra específica do cluster.
Talvez você veja a mensagem "Parece que este cluster não existe. Esta regra ainda estará em vigor se o cluster estiver disponível no GKE futuramente." Se isso acontecer, clique em Adicionar novamente para salvar a regra.
Se você quiser ativar o modo de teste, selecione Modo de teste.
Clique em Save Policy.
Adicionar uma regra específica do cluster (GKE Multi-Cloud, Distributed Cloud)
Esta seção se aplica ao Distributed Cloud.
Para adicionar uma regra específica de cluster para um cluster do GKE, faça o seguinte:
No Console do Google Cloud, acesse a página Autorização binária.
Clique na guia Política.
Clique em Editar política.
Expanda a seção Configurações avançadas para implantações do GKE e do GKE Enterprise.
Se nenhum tipo de regra específica for definido, clique em Criar regras específicas.
Para selecionar o tipo de regra, clique em Tipo de regra específica.
Para atualizar o tipo de regra, clique em Alterar.
Clique em Adicionar regra específica.
No campo Código do recurso do cluster, insira o código do recurso para o cluster.
- Para clusters anexados ao GKE e
GKE na AWS, o formato é
CLUSTER_LOCATION.CLUSTER_NAME
. Por exemplo,us-central1-a.test-cluster
. - Para o Google Distributed Cloud
e o Google Distributed Cloud,
o formato é
FLEET_MEMBERSHIP_LOCATION.FLEET_MEMBERSHIP_ID
, por exemplo:global.test-membership
.
- Para clusters anexados ao GKE e
GKE na AWS, o formato é
Selecione o modo de avaliação da regra padrão.
O modo de avaliação especifica o tipo de restrição que a autorização binária aplica no momento da implantação. Para definir o modo de avaliação, selecione uma das seguintes opções:
- Permitir todas as imagens: permite que todas as imagens sejam implantadas.
- Negar todas as imagens: impede a implantação de todas as imagens.
- Permitir somente imagens aprovadas pelos seguintes atestadores: permite que uma imagem seja implantada se ela tiver um ou mais atestados que possam ser verificados por todos os atestadores que você adicionar a esta regra. Para saber como criar atestadores, consulte Como criar atestadores.
Se você selecionou Permitir somente imagens que foram aprovadas pelos seguintes atestadores:
Encontre o nome ou o ID do recurso do seu atestador.
No Console do Google Cloud, na página Atestadores, é possível visualizar os atestadores existentes ou criar um.
Clique em Adicionar atestadores.
Selecione uma das seguintes opções:
Adicionar por projeto e nome de atestador
O projeto refere-se ao ID do projeto que armazena seus atestadores. Um exemplo de nome de atestador é
build-qa
.Adicionar por código de recurso do atestador
Um ID de recurso tem este formato:
projects/PROJECT_ID/attestors/ATTESTOR_NAME
Em Atestadores, insira o(s) valore(s) apropriado(s) para a opção selecionada.
Clique em Adicionar outro atestador se você quiser adicionar outros atestadores.
Clique em Adicionar atestadores para salvar a regra.
Clique em Adicionar para salvar a regra.
Talvez você veja a mensagem "Parece que este cluster não existe. Esta regra ainda entrará em vigor se o cluster especificado estiver disponível no GKE no futuro." Se isso acontecer, clique em Adicionar novamente para salvar a regra.
Se você quiser ativar o modo de teste, selecione Modo de teste.
Clique em Save Policy.
Adicionar regras específicas
É possível criar regras com escopo para uma identidade de serviço de malha, uma conta de serviço do Kubernetes ou um namespace do Kubernetes. É possível adicionar ou modificar uma regra específica da seguinte maneira:
No Console do Google Cloud, acesse a página Autorização binária.
Clique na guia Política.
Clique em Editar política.
Expanda a seção Configurações adicionais para implantações do GKE e do Anthos.
Se nenhum tipo de regra específica for definido, clique em Criar regras específicas.
Clique em Tipo de regra específica para selecionar o tipo de regra.
Clique em Alterar para atualizar o tipo de regra.
Se o tipo de regra específico existir, você poderá alterá-lo clicando em Editar tipo.
Para adicionar uma regra específica, clique em Adicionar regra específica. Dependendo do tipo de regra escolhida, insira um ID da seguinte maneira:
- Identidade de serviço do ASM: insira sua identidade de serviço do ASM, que tem o seguinte formato: PROJECT_ID.svc.id.goog/ns/NAMESPACE/sa/SERVICE_ACCOUNT
- Conta de serviço do Kubernetes: insira a conta de serviço do Kubernetes, que tem o seguinte formato: NAMESPACE:SERVICE_ACCOUNT.
- Namespace do Kubernetes: insira o namespace do Kubernetes, que tem o seguinte formato: NAMESPACE
Dependendo do tipo de regra, substitua:
- PROJECT_ID: o ID do projeto em que você define os recursos do Kubernetes.
- NAMESPACE: o namespace do Kubernetes.
- SERVICE_ACCOUNT: a conta de serviço.
Selecione o modo de avaliação da regra padrão.
O modo de avaliação especifica o tipo de restrição que a autorização binária aplica no momento da implantação. Para definir o modo de avaliação, selecione uma das seguintes opções:
- Permitir todas as imagens: permite que todas as imagens sejam implantadas.
- Negar todas as imagens: impede a implantação de todas as imagens.
- Permitir somente imagens aprovadas pelos seguintes atestadores: permite que uma imagem seja implantada se ela tiver um ou mais atestados que possam ser verificados por todos os atestadores que você adicionar a esta regra. Para saber como criar atestadores, consulte Como criar atestadores.
Se você selecionou Permitir somente imagens que foram aprovadas pelos seguintes atestadores:
Encontre o nome ou o ID do recurso do seu atestador.
No Console do Google Cloud, na página Atestadores, é possível visualizar os atestadores existentes ou criar um.
Clique em Adicionar atestadores.
Selecione uma das seguintes opções:
Adicionar por projeto e nome de atestador
O projeto refere-se ao ID do projeto que armazena seus atestadores. Um exemplo de nome de atestador é
build-qa
.Adicionar por código de recurso do atestador
Um ID de recurso tem este formato:
projects/PROJECT_ID/attestors/ATTESTOR_NAME
Em Atestadores, insira o(s) valore(s) apropriado(s) para a opção selecionada.
Clique em Adicionar outro atestador se você quiser adicionar outros atestadores.
Clique em Adicionar atestadores para salvar a regra.
Clique em Modo de teste para ativar o modo de teste.
Clique em Adicionar para salvar a regra específica.
Clique em Save Policy.
Gerenciar imagens isentas
Esta seção se aplica ao GKE, Distributed Cloud, Cloud Run e Cloud Service Mesh.
Uma imagem isenta é uma imagem especificada por um caminho, isenta de regras de política. A autorização binária sempre permite a implantação de imagens isentas.
Esse caminho pode ser um local no Container Registry ou em outro registro de imagem de contêiner.
Cloud Run
Esta seção se aplica ao Cloud Run.
Não é possível especificar diretamente nomes de imagens que contenham uma tag. Por exemplo, não é possível especificar
IMAGE_PATH
:latest.
Se você quiser especificar nomes de imagens que contenham tags, especifique o nome da imagem usando um padrão de caracteres curinga conforme mostrado a seguir:
*
para todas as versões de uma única imagem; por exemplo,us-docker.pkg.dev/myproject/container/hello@*
**
para todas as imagens em um projeto; por exemplo,us-docker.pkg.dev/myproject/**
É possível usar nomes de caminho para especificar um resumo no formato
IMAGE_PATH
@DIGEST
.
Ativar a política do sistema
Esta seção se aplica às APIs GKE e Distributed Cloud.
Confiar em todas as imagens do sistema fornecidas pelo Google é uma configuração de política que ativa a política do sistema de autorização binária. Quando essa configuração está ativada no momento da implantação, a autorização binária isenta uma lista de imagens do sistema mantidas pelo Google que são exigidas pelo GKE de outras avaliações de política. A política do sistema é avaliada antes de qualquer uma das outras configurações de política.
Para ativar a política do sistema, faça o seguinte:
Retorne à página Autorização binária no Console do Google Cloud.
Clique em Editar política.
Expanda a seção Configurações adicionais para implantações do GKE e do Anthos.
Selecione Confiar em todas as imagens do sistema fornecidas pelo Google na seção Isenção de imagens do sistema do Google.
Para ver as imagens isentas pela política do sistema, clique em Ver Detalhes.
Para especificar manualmente imagens isentas adicionais, expanda a seção Regras de isenção personalizadas em Imagens isentas desta política.
Em seguida, clique em Adicionar padrão da imagem e insira o caminho do registro para qualquer imagem adicional que você queira isentar.
Clique em Save Policy.
A seguir
- Use o atestador
built-by-cloud-build
para implantar somente imagens criadas pelo Cloud Build (visualização). - Usar atestados.
- Implantar uma imagem do GKE.
- Conferir os eventos dos Registros de auditoria do Cloud.
- Usar a validação contínua.
- Usar a validação contínua legada (descontinuada) para verificar a conformidade com a política.