Aktifkan Otorisasi Biner

Untuk mengaktifkan Otorisasi Biner untuk cluster terlampir GKE, lakukan langkah-langkah berikut:

1. Aktifkan Binary Authorization API di project Anda:

   gcloud services enable binaryauthorization.googleapis.com \
     --project=PROJECT_ID
   

   Ganti PROJECT_ID dengan ID Google Cloud project Anda.

2. Berikan peran binaryauthorization.policyEvaluator ke akun layanan Kubernetes yang terkait dengan agen Binary Authorization:

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
     --role="roles/binaryauthorization.policyEvaluator"
   

3. Aktifkan Otorisasi Biner saat mendaftarkan atau mengupdate cluster.

   Mendaftarkan cluster

   Untuk mengaktifkan Otorisasi Biner saat mendaftarkan cluster, gunakan perintah gcloud container attached clusters register. Ikuti petunjuk di melampirkan cluster EKS Anda, dan sertakan argumen opsional --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:

   gcloud container attached clusters register CLUSTER_NAME \
     ...
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   Ganti CLUSTER_NAME dengan nama cluster Anda.

   Mengupdate cluster

   Untuk mengaktifkan Otorisasi Biner saat memperbarui cluster, gunakan perintah gcloud container attached clusters update. Ikuti petunjuk di bagian memperbarui cluster EKS Anda, dan sertakan argumen opsional --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:

   gcloud container attached clusters update CLUSTER_NAME \
     ...
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   Ganti CLUSTER_NAME dengan nama cluster Anda.

Dengan mengikuti langkah-langkah ini, Anda memastikan bahwa hanya image tepercaya dan terverifikasi yang digunakan untuk membuat container Kubernetes di cluster GKE Anda. Hal ini membantu mempertahankan lingkungan yang aman untuk aplikasi Anda.

Mengonfigurasi kebijakan

Mengaktifkan Otorisasi Biner saja tidak akan otomatis melindungi cluster Anda. Secara default, semua image container dapat di-deploy jika tidak ada kebijakan yang dikonfigurasi. Artinya, untuk mengamankan cluster secara efektif, Anda perlu menentukan dan menerapkan kebijakan yang menentukan image mana yang diizinkan. Untuk mempelajari cara mengonfigurasi kebijakan Otorisasi Biner, lihat Mengonfigurasi kebijakan menggunakan Google Cloud CLI.