Membuat pengautentikasi menggunakan gcloud CLI

Halaman ini menjelaskan cara membuat pengesah di Binary Authorization menggunakan Google Cloud CLI. Sebagai alternatif, Anda dapat melakukan langkah-langkah ini menggunakan konsolGoogle Cloud atau REST API. Tugas ini adalah bagian dari penyiapan Otorisasi Biner.

Pengguna Cloud Build: Anda dapat menggunakan built-by-cloud-build pengesah untuk men-deploy hanya image yang dibuat oleh Cloud Build.

Pengesah adalah Google Cloud resource yang digunakan Otorisasi Biner untuk memverifikasi pengesahan. Untuk mempelajari pengesahan lebih lanjut, lihat Ringkasan Otorisasi Biner.

Untuk membuat pengesah, lakukan hal berikut:

  • Buat catatan di Analisis Artefak untuk menyimpan metadata tepercaya yang digunakan dalam proses pengesahan.
  • Siapkan pasangan kunci Infrastruktur Kunci Publik (X.509) (PKIX) yang dapat digunakan untuk memverifikasi identitas pengesah. (Pasangan kunci asimetris yang dibuat oleh Cloud Key Management Service (Cloud KMS) menggunakan format yang kompatibel dengan PKIX.)
  • Buat pengesah itu sendiri di Otorisasi Biner, dan kaitkan catatan dan kunci publik yang Anda buat.

Dalam penyiapan satu project, Anda membuat pengesah di project Google Cloud yang sama tempat Anda mengonfigurasi kebijakan Otorisasi Biner. Untuk tutorial end-to-end satu project yang mencakup langkah-langkah ini, lihat Mulai menggunakan Google Cloud CLI atau Mulai menggunakan konsol Google Cloud .

Dalam penyiapan multi-project, sebaiknya Anda memiliki project terpisah: project deployer, tempat kebijakan Anda dikonfigurasi; project pengesah, tempat pengesah Anda disimpan; dan project pengesahan untuk pengesahan. Untuk tutorial multi-project end-to-end yang mencakup langkah-langkah ini, lihat penyiapan multi-project.

Sebelum memulai

Sebelum Anda membuat pengesah, lakukan hal berikut:

  1. Aktifkan Otorisasi Biner.

  2. Siapkan Otorisasi Biner untuk platform Anda.

Menyiapkan lingkungan project

Di bagian ini, Anda akan menyiapkan variabel lingkungan.

Siapkan variabel lingkungan untuk menyimpan nama dan nomor project Anda. Jika project pengesah dan project deployment Anda adalah project yang sama, gunakan ID project yang sama untuk kedua variabel.

DEPLOYER_PROJECT_ID=DEPLOYER_PROJECT_ID=
DEPLOYER_PROJECT_NUMBER="$(
    gcloud projects describe "${DEPLOYER_PROJECT_ID}" \
      --format="value(projectNumber)"
)"

ATTESTOR_PROJECT_ID=ATTESTOR_PROJECT_ID
ATTESTOR_PROJECT_NUMBER="$(
    gcloud projects describe "${ATTESTOR_PROJECT_ID}" \
    --format="value(projectNumber)"
)"

Anda juga harus mendapatkan nama akun layanan untuk project:

DEPLOYER_SERVICE_ACCOUNT="service-${DEPLOYER_PROJECT_NUMBER}@gcp-sa-binaryauthorization.iam.gserviceaccount.com"
ATTESTOR_SERVICE_ACCOUNT="service-${ATTESTOR_PROJECT_NUMBER}@gcp-sa-binaryauthorization.iam.gserviceaccount.com"

Membuat catatan Analisis Artefak

Otorisasi Biner menggunakan Analisis Artefak untuk menyimpan metadata tepercaya yang digunakan dalam proses otorisasi. Untuk setiap pengesah yang Anda buat, Anda harus membuat satu catatan Analisis Artefak. Setiap pengesahan disimpan sebagai kemunculan catatan ini.

Untuk membuat catatan, ikuti langkah-langkah berikut:

  1. Siapkan variabel lingkungan untuk menyimpan ID catatan dan deskripsi yang mudah dibaca:

    NOTE_ID=NOTE_ID
NOTE_URI="projects/${ATTESTOR_PROJECT_ID}/notes/${NOTE_ID}"
DESCRIPTION=DESCRIPTION

    Ganti kode berikut:

    • NOTE_ID: nama internal catatan dalam karakter alfanumerik tanpa spasi—misalnya, test-attestor-note
    • NOTE_URI: jalur yang sepenuhnya memenuhi syarat ke resource catatan
    • DESCRIPTION: nama tampilan yang mudah dibaca untuk catatan—misalnya, Test Attestor Note

  2. Di editor teks, buat file JSON yang menjelaskan catatan:

    cat > /tmp/note_payload.json << EOM
{
  "name": "${NOTE_URI}",
  "attestation": {
    "hint": {
      "human_readable_name": "${DESCRIPTION}"
    }
  }
}
EOM

  3. Buat catatan dengan mengirim permintaan HTTP ke Artifact Analysis REST API:

    curl -X POST \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)"  \
    -H "x-goog-user-project: ${ATTESTOR_PROJECT_ID}" \
    --data-binary @/tmp/note_payload.json  \
    "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/?noteId=${NOTE_ID}"

    Untuk memverifikasi bahwa catatan berhasil dibuat, jalankan perintah berikut:

    curl \
    -H "Authorization: Bearer $(gcloud auth print-access-token)"  \
    -H "x-goog-user-project: ${ATTESTOR_PROJECT_ID}" \
    "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/"

Menetapkan izin IAM pada catatan

Anda harus memberikan peran Identity and Access Management (IAM) ke akun layanan project pengesah pada resource catatan Analisis Artefak. Anda melakukannya dengan menambahkan akun layanan project pengesah ke peran containeranalysis.notes.occurrences.viewer dalam kebijakan IAM catatan.

Untuk menambahkan peran, lakukan langkah-langkah berikut:

  1. Buat file JSON yang berisi informasi yang diperlukan untuk menyetel peran IAM di catatan Anda:

    cat > /tmp/iam_request.json << EOM
{
  "resource": "${NOTE_URI}",
  "policy": {
    "bindings": [
      {
        "role": "roles/containeranalysis.notes.occurrences.viewer",
        "members": [
          "serviceAccount:${ATTESTOR_SERVICE_ACCOUNT}"
        ]
      }
    ]
  }
}
EOM

  2. Tambahkan akun layanan dan peran akses yang diminta ke kebijakan IAM untuk catatan yang Anda buat:

    curl -X POST  \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "x-goog-user-project: ${ATTESTOR_PROJECT_ID}" \
    --data-binary @/tmp/iam_request.json \
    "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/${NOTE_ID}:setIamPolicy"

Penggunaan multi-project

Jika Anda menyimpan pengesah di satu project dan men-deploy di project terpisah, Anda harus memberikan peran roles/binaryauthorization.attestorsVerifier ke akun layanan yang terkait dengan project deployer pada pengesah.

Menyiapkan kunci kriptografis

Binary Authorization memungkinkan Anda menggunakan kunci PKIX untuk memverifikasi pengesahan.

Membuat pasangan kunci

Dalam panduan ini, Anda menggunakan Elliptic Curve Digital Signature Algorithm (ECDSA) yang direkomendasikan untuk membuat pasangan kunci PKIX. Anda juga dapat menggunakan pasangan kunci RSA atau PGP. Lihat Tujuan utama dan algoritma untuk mengetahui informasi selengkapnya tentang algoritma penandatanganan.

Pasangan kunci PKIX terdiri dari kunci pribadi yang digunakan oleh penanda tangan untuk menandatangani pengesahan, dan kunci publik yang Anda tambahkan ke pengesah. Pada waktu deployment, Otorisasi Biner menggunakan kunci publik ini untuk memverifikasi pengesahan.

PKIX (Cloud KMS)

Untuk membuat pasangan kunci di Cloud KMS, lakukan hal berikut:

  1. Untuk menyiapkan variabel lingkungan yang diperlukan untuk membuat pasangan kunci, jalankan perintah berikut:

    KMS_KEY_PROJECT_ID=KMS_KEY_PROJECT_ID
KMS_KEY_LOCATION=KMS_KEY_LOCATION
KMS_KEYRING_NAME=KMS_KEYRING_NAME
KMS_KEY_NAME=KMS_KEY_NAME
KMS_KEY_VERSION=KMS_KEY_VERSION
KMS_KEY_PURPOSE=asymmetric-signing
KMS_KEY_ALGORITHM=KMS_KEY_ALGORITHM
KMS_PROTECTION_LEVEL=KMS_PROTECTION_LEVEL

    Ganti kode berikut:

    • KMS_KEY_PROJECT_ID: ID project tempat kunci disimpan
    • KMS_KEY_LOCATION: lokasi kunci
    • KMS_KEYRING_NAME: nama key ring
    • KMS_KEY_NAME: nama kunci
    • KMS_KEY_VERSION: versi kunci
    • KMS_KEY_ALGORITHM: algoritma; ec-sign-p256-sha256 direkomendasikan
    • KMS_PROTECTION_LEVEL: tingkat perlindungan—misalnya, software

  2. Untuk membuat ring kunci, jalankan perintah berikut:

    gcloud kms keyrings create ${KMS_KEYRING_NAME} \
    --location ${KMS_KEY_LOCATION}

  3. Untuk membuat kunci, jalankan perintah berikut:

    gcloud kms keys create ${KMS_KEY_NAME} \
    --location ${KMS_KEY_LOCATION} \
    --keyring ${KMS_KEYRING_NAME}  \
    --purpose ${KMS_KEY_PURPOSE} \
    --default-algorithm ${KMS_KEY_ALGORITHM} \
    --protection-level ${KMS_PROTECTION_LEVEL}

    Ganti kode berikut:

    • KMS_KEY_NAME: nama kunci
    • KMS_KEY_LOCATION: lokasi kunci
    • KMS_KEYRING_NAME: nama key ring
    • KMS_KEY_PURPOSE: tujuan kunci, ditetapkan ke ASYMMETRIC_SIGN
    • KMS_KEY_ALGORITHM: algoritma, ec-sign-p256-sha256 direkomendasikan
    • KMS_PROTECTION_LEVEL: tingkat perlindungan—misalnya, software

PKIX (kunci lokal)

Untuk membuat pasangan kunci asimetris PKIX lokal baru dan menyimpannya dalam file, lakukan hal berikut:

  1. Buat kunci pribadi:

    PRIVATE_KEY_FILE adalah nama file yang berisi kunci pribadi yang digunakan untuk menandatangani payload pengesahan.

    PRIVATE_KEY_FILE="/tmp/ec_private.pem"
openssl ecparam -genkey -name prime256v1 -noout -out ${PRIVATE_KEY_FILE}

  2. Ekstrak kunci publik dari kunci pribadi dan simpan ke dalam file:

    PUBLIC_KEY_FILE adalah nama file yang berisi kunci publik yang disimpan di pengesah.

    PUBLIC_KEY_FILE="/tmp/ec_public.pem"
openssl ec -in ${PRIVATE_KEY_FILE} -pubout -out ${PUBLIC_KEY_FILE}

Buat pengesah

Untuk membuat pengesah, ikuti langkah-langkah berikut:

  1. Siapkan variabel lingkungan untuk menyimpan nama pengesah seperti yang ditentukan dalam Otorisasi Biner:

    ATTESTOR_NAME=ATTESTOR_NAME

    dengan ATTESTOR_NAME adalah nama pengesah yang ingin Anda buat (misalnya, build-secure atau prod-qa).

  2. Buat resource attestor di Otorisasi Biner:

    gcloud --project="${ATTESTOR_PROJECT_ID}" \
    container binauthz attestors create "${ATTESTOR_NAME}" \
    --attestation-authority-note="${NOTE_ID}" \
    --attestation-authority-note-project="${ATTESTOR_PROJECT_ID}"

  3. Tambahkan binding peran IAM untuk project deployer ke pengesah. Ini digunakan oleh Binary Authorization saat mengevaluasi kebijakan untuk menentukan apakah project memiliki izin untuk mengakses pengesahan terkait.

    gcloud container binauthz attestors add-iam-policy-binding \
    "projects/${ATTESTOR_PROJECT_ID}/attestors/${ATTESTOR_NAME}" \
    --member="serviceAccount:${DEPLOYER_SERVICE_ACCOUNT}" \
    --role=roles/binaryauthorization.attestorsVerifier

  4. Untuk menambahkan kunci publik ke attestor, lakukan hal berikut:

    PKIX (Cloud KMS)

    Untuk menambahkan kunci publik dari pasangan kunci Cloud KMS ke attestor, jalankan perintah berikut:

    gcloud --project="${ATTESTOR_PROJECT_ID}" \
    container binauthz attestors public-keys add \
    --attestor="${ATTESTOR_NAME}" \
    --keyversion-project="${KMS_KEY_PROJECT_ID}" \
    --keyversion-location="${KMS_KEY_LOCATION}" \
    --keyversion-keyring="${KMS_KEYRING_NAME}" \
    --keyversion-key="${KMS_KEY_NAME}" \
    --keyversion="${KMS_KEY_VERSION}"

    PKIX (kunci lokal)

    Untuk menambahkan kunci publik PKIX yang disimpan secara lokal ke attestor, jalankan perintah berikut:

    gcloud --project="${ATTESTOR_PROJECT_ID}" \
    container binauthz attestors public-keys add \
    --attestor="${ATTESTOR_NAME}" \
    --pkix-public-key-file=${PUBLIC_KEY_FILE} \
    --pkix-public-key-algorithm=ecdsa-p256-sha256

    Jika Anda menambahkan kunci publik ke attestor dan tidak menentukan ID kunci (yang dapat berupa string apa pun), kunci tersebut akan otomatis diberi ID dalam format RFC 6920: ni:///sha-256;..., dengan ... adalah hash kunci publik yang dienkode. Nilai ini ditampilkan di kolom id pada output perintah. ID yang ditampilkan dapat disimpan di PUBLIC_KEY_ID dan digunakan untuk membuat pengesahan.

Simpan ID kunci publik

Untuk membuat pengesahan, Anda memerlukan ID kunci publik.

Untuk menyimpan ID kunci publik, Anda dapat menyalinnya dari output perintah binauthz attestors public-keys add di atas.

Atau, Anda dapat melihat ID kunci publik pengesah Anda kapan saja menggunakan perintah berikut:

gcloud container binauthz attestors describe ${ATTESTOR}.

Untuk menyimpan ID kunci publik Anda dalam variabel lingkungan, masukkan perintah berikut:

PUBLIC_KEY_ID=$(gcloud container binauthz attestors describe ${ATTESTOR_NAME} \
--format='value(userOwnedGrafeasNote.publicKeys[0].id)')

Verifikasi bahwa pengesah telah dibuat

Untuk memverifikasi bahwa pengesah telah dibuat, jalankan perintah berikut:

gcloud container binauthz attestors list \
    --project="${ATTESTOR_PROJECT_ID}"

Langkah berikutnya