このページでは、Google Cloud CLI を使用して Binary Authorization の認証者を作成する方法について説明します。この手順は、Google Cloud コンソールまたは REST API でも行うことができます。このタスクは Binary Authorization の設定の一部です。
Cloud Build ユーザー: 代わりに built-by-cloud-build
認証者を使用して、Cloud Build によってビルドされたイメージのみをデプロイできます。
認証者は、Binary Authorization が証明書の検証で使用する Google Cloud リソースです。証明書の詳細については、Binary Authorization の概要をご覧ください。
認証者の作成手順は次のとおりです。
- Artifact Analysis でメモを作成して、認証プロセスで使用される信頼できるメタデータを保存します。
- 認証者の ID 確認に使用する公開鍵基盤(X.509)(PKIX)鍵ペアを設定します。Cloud Key Management Service(Cloud KMS)で生成された非対称鍵ペアは PKIX と互換性があります。
- Binary Authorization で認証者を作成し、作成したメモと公開鍵を関連付けます。
単一プロジェクト設定では、Binary Authorization ポリシーを構成した Google Cloud プロジェクトに認証者を作成します。これらのステップを含むエンドツーエンドの単一プロジェクト チュートリアルについては、Google Cloud CLI の使用を開始する、または、Google Cloud コンソールの使用を開始するをご覧ください。
マルチプロジェクト設定では、個別のプロジェクトを用意することをおすすめします。ポリシーが構成されている場所にデプロイ担当者プロジェクトを、証明者が保管されている場所に証明者プロジェクトを、証明書用に証明書プロジェクトを用意することをおすすめします。これらのステップを含むエンドツーエンドのマルチプロジェクト チュートリアルについては、マルチプロジェクト設定をご覧ください。
始める前に
認証者を作成する前に、次のことを行います。
プロジェクト環境の設定
このセクションでは、環境変数を設定します。
プロジェクト名と番号を格納する環境変数を設定します。 証明書とデプロイ担当者のプロジェクトが同じプロジェクトの場合は、両方の変数に同じプロジェクト ID を使用します。
DEPLOYER_PROJECT_ID=DEPLOYER_PROJECT_ID= DEPLOYER_PROJECT_NUMBER="$( gcloud projects describe "${DEPLOYER_PROJECT_ID}" \ --format="value(projectNumber)" )" ATTESTOR_PROJECT_ID=ATTESTOR_PROJECT_ID ATTESTOR_PROJECT_NUMBER="$( gcloud projects describe "${ATTESTOR_PROJECT_ID}" \ --format="value(projectNumber)" )"
プロジェクトのサービス アカウント名も取得する必要があります。
DEPLOYER_SERVICE_ACCOUNT="service-${DEPLOYER_PROJECT_NUMBER}@gcp-sa-binaryauthorization.iam.gserviceaccount.com" ATTESTOR_SERVICE_ACCOUNT="service-${ATTESTOR_PROJECT_NUMBER}@gcp-sa-binaryauthorization.iam.gserviceaccount.com"
Artifact Analysis メモを作成する
Binary Authorization は、Artifact Analysis を使用して、認証プロセスで使用される信頼できるメタデータを保存します。作成する認証者ごとに、1 つの Artifact Analysis メモを作成する必要があります。それぞれの証明書が、このメモのオカレンスとして保存されます。
メモの作成手順は次のとおりです。
メモ ID と人が読める形式の説明を保存する環境変数を設定します。
NOTE_ID=NOTE_ID NOTE_URI="projects/${ATTESTOR_PROJECT_ID}/notes/${NOTE_ID}" DESCRIPTION=DESCRIPTION
以下を置き換えます。
NOTE_ID
: メモの内部名です。スペースを含まない英数字で指定します(例:test-attestor-note
)。NOTE_URI
: メモリリソースの完全修飾パスです。DESCRIPTION
: 人が読める形式のメモ名です(例:Test Attestor Note
)。
テキスト エディタで、メモを含む JSON ファイルを作成します。
cat > /tmp/note_payload.json << EOM { "name": "${NOTE_URI}", "attestation": { "hint": { "human_readable_name": "${DESCRIPTION}" } } } EOM
HTTP リクエストを Container Analysis REST API に送信して、メモを作成します。Artifact Analysis
curl -X POST \ -H "Content-Type: application/json" \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "x-goog-user-project: ${ATTESTOR_PROJECT_ID}" \ --data-binary @/tmp/note_payload.json \ "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/?noteId=${NOTE_ID}"
メモが正常に作成されたことを確認するには、次のコマンドを実行します。
curl \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "x-goog-user-project: ${ATTESTOR_PROJECT_ID}" \ "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/"
メモに IAM 権限を設定する
Artifact Analysis メモリソースの認証者プロジェクト サービス アカウントに Identity and Access Management(IAM)ロールを付与する必要があります。これを行うには、認証者のプロジェクト サービス アカウントをメモの IAM ポリシーの containeranalysis.notes.occurrences.viewer
ロールに追加します。
ロールの追加手順は次のとおりです。
メモに IAM ロールを設定するために必要な情報を含む JSON ファイルを生成します。
cat > /tmp/iam_request.json << EOM { "resource": "${NOTE_URI}", "policy": { "bindings": [ { "role": "roles/containeranalysis.notes.occurrences.viewer", "members": [ "serviceAccount:${ATTESTOR_SERVICE_ACCOUNT}" ] } ] } } EOM
作成したメモのサービス アカウントとリクエストされたアクセス ロールを IAM ポリシーに追加します。
curl -X POST \ -H "Content-Type: application/json" \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "x-goog-user-project: ${ATTESTOR_PROJECT_ID}" \ --data-binary @/tmp/iam_request.json \ "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/${NOTE_ID}:setIamPolicy"
マルチプロジェクトの使用
認証者を 1 つのプロジェクトに保存して別のプロジェクトにデプロイする場合は、認証者のデプロイ担当者プロジェクトに関連付けられたサービス アカウントに roles/binaryauthorization.attestorsVerifier
ロールを付与する必要があります。
暗号鍵を設定する
Binary Authorization では、PKIX 鍵を使用して証明書を検証できます。
鍵ペアを生成する
このガイドでは、PKIX 鍵ペアの生成に推奨の楕円曲線デジタル署名アルゴリズム(ECDSA)を使用していますが、RSA または PGP 鍵ペアを使用することもできます。署名アルゴリズムの詳細については、鍵の目的とアルゴリズムをご覧ください。
PKIX 鍵ペアは、署名者が証明書に署名する秘密鍵と、認証者に追加する公開鍵で構成されます。デプロイ時に、Binary Authorization はこの公開鍵を使用して証明書を検証します。
PKIX(Cloud KMS)
Cloud KMS で鍵ペアを作成する手順は次のとおりです。
鍵ペアの作成に必要な環境変数を設定するには、次のコマンドを実行します。
KMS_KEY_PROJECT_ID=
KMS_KEY_PROJECT_ID
KMS_KEY_LOCATION=KMS_KEY_LOCATION
KMS_KEYRING_NAME=KMS_KEYRING_NAME
KMS_KEY_NAME=KMS_KEY_NAME
KMS_KEY_VERSION=KMS_KEY_VERSION
KMS_KEY_PURPOSE=asymmetric-signing KMS_KEY_ALGORITHM=KMS_KEY_ALGORITHM
KMS_PROTECTION_LEVEL=KMS_PROTECTION_LEVEL
以下を置き換えます。
KMS_KEY_PROJECT_ID
: 鍵が保存されているプロジェクトの IDKMS_KEY_LOCATION
: 鍵のロケーションKMS_KEYRING_NAME
: キーリングの名前KMS_KEY_NAME
: 鍵の名前KMS_KEY_VERSION
: 鍵のバージョンKMS_KEY_ALGORITHM
: アルゴリズム(ec-sign-p256-sha256
を推奨)KMS_PROTECTION_LEVEL
: 保護レベル(software
など)。
キーリングを作成するには、次のコマンドを実行します。
gcloud kms keyrings create ${KMS_KEYRING_NAME} \ --location ${KMS_KEY_LOCATION}
鍵を作成するには、次のコマンドを実行します。
gcloud kms keys create ${KMS_KEY_NAME} \ --location ${KMS_KEY_LOCATION} \ --keyring ${KMS_KEYRING_NAME} \ --purpose ${KMS_KEY_PURPOSE} \ --default-algorithm ${KMS_KEY_ALGORITHM} \ --protection-level ${KMS_PROTECTION_LEVEL}
以下を置き換えます。
KMS_KEY_NAME
: 鍵の名前KMS_KEY_LOCATION
: 鍵のロケーションKMS_KEYRING_NAME
: キーリングの名前KMS_KEY_PURPOSE
: 鍵の目的(ASYMMETRIC_SIGN
に設定します)KMS_KEY_ALGORITHM
: アルゴリズム(ec-sign-p256-sha256
を推奨)KMS_PROTECTION_LEVEL
: 保護レベル(software
など)。
PKIX(ローカルキー)
新しいローカル非対称 PKIX 鍵ペアを生成してファイルに保存するには、次の手順を行います。
秘密鍵を生成します。
PRIVATE_KEY_FILE は、証明書ペイロードの署名に使用される秘密鍵を含むファイルの名前です。
PRIVATE_KEY_FILE="/tmp/ec_private.pem" openssl ecparam -genkey -name prime256v1 -noout -out ${PRIVATE_KEY_FILE}
秘密鍵から公開鍵を抽出し、ファイルに保存します。
PUBLIC_KEY_FILE は、認証者に保存されている公開鍵を含むファイルの名前です。
PUBLIC_KEY_FILE="/tmp/ec_public.pem" openssl ec -in ${PRIVATE_KEY_FILE} -pubout -out ${PUBLIC_KEY_FILE}
認証者を作成する
認証者の作成手順は次のとおりです。
Binary Authorization で定義されている認証者の名前を格納する環境変数を設定します。
ATTESTOR_NAME=ATTESTOR_NAME
ATTESTOR_NAME は、作成する認証者の名前です(例:
build-secure
、prod-qa
)。Binary Authorization で認証者リソースを作成します。
gcloud --project="${ATTESTOR_PROJECT_ID}" \ container binauthz attestors create "${ATTESTOR_NAME}" \ --attestation-authority-note="${NOTE_ID}" \ --attestation-authority-note-project="${ATTESTOR_PROJECT_ID}"
デプロイ担当者プロジェクトの IAM ロール バインディングを認証者に追加します。これは、Binary Authorization がポリシーを評価して、関連する証明書にアクセスする権限があるかどうかを判定するときに使用されます。
gcloud container binauthz attestors add-iam-policy-binding \ "projects/${ATTESTOR_PROJECT_ID}/attestors/${ATTESTOR_NAME}" \ --member="serviceAccount:${DEPLOYER_SERVICE_ACCOUNT}" \ --role=roles/binaryauthorization.attestorsVerifier
認証者に公開鍵を追加するには、次のようにします。
PKIX(Cloud KMS)
Cloud KMS 鍵ペアから認証者に公開鍵を追加するには、次のコマンドを実行します。
gcloud --project="${ATTESTOR_PROJECT_ID}" \ container binauthz attestors public-keys add \ --attestor="${ATTESTOR_NAME}" \ --keyversion-project="${KMS_KEY_PROJECT_ID}" \ --keyversion-location="${KMS_KEY_LOCATION}" \ --keyversion-keyring="${KMS_KEYRING_NAME}" \ --keyversion-key="${KMS_KEY_NAME}" \ --keyversion="${KMS_KEY_VERSION}"
PKIX(ローカルキー)
ローカルに保存された PKIX 公開鍵を認証者に追加するには、次のコマンドを実行します。
gcloud --project="${ATTESTOR_PROJECT_ID}" \ container binauthz attestors public-keys add \ --attestor="${ATTESTOR_NAME}" \ --pkix-public-key-file=${PUBLIC_KEY_FILE} \ --pkix-public-key-algorithm=ecdsa-p256-sha256
認証者に公開鍵を追加し、鍵 ID(任意の文字列)を指定しない場合、RFC 6920 形式
ni:///sha-256;...
の ID が自動的に付与されます(...
は公開鍵のエンコードされたハッシュです)。この値は、コマンド出力のid
フィールドに返されます。返された ID をPUBLIC_KEY_ID
に保存し、証明書の作成に使用できます。
公開鍵 ID を保存します。
証明書を作成するには、公開鍵 ID が必要です。
公開鍵 ID を保存するには、上記の binauthz attestors public-keys add
コマンドの出力からコピーします。
また、次のコマンドを使用すると、認証者の公開鍵 ID をいつでも確認できます。
gcloud container binauthz attestors describe ${ATTESTOR}
。
公開鍵 ID を環境変数に格納するには、次のコマンドを入力します。
PUBLIC_KEY_ID=$(gcloud container binauthz attestors describe ${ATTESTOR_NAME} \
--format='value(userOwnedGrafeasNote.publicKeys[0].id)')
認証者が作成されたことを確認する
認証者が作成されたことを確認するには、次のコマンドを実行します。
gcloud container binauthz attestors list \ --project="${ATTESTOR_PROJECT_ID}"
次のステップ
- 認証者用の証明書を作成する方法を確認する。
- Google Cloud コンソール、Google Cloud CLI、REST API を使用して Binary Authorization ポリシーを更新し、証明書を要求する。