סקירה כללית על הצהרות

במדריך הזה מוסבר איך ליצור אישורים של Binary Authorization ולהשתמש בהם. אחרי שנוצר קובץ אימג' של קונטיינר, אפשר ליצור אימות (attestation) כדי לאשר שבוצעה בקובץ האימג' פעילות נדרשת, כמו בדיקת רגרסיה, בדיקת נקודות חולשה או בדיקה אחרת. האישור נוצר על ידי חתימה על הגיבוב הייחודי של התמונה.

במהלך הפריסה, במקום לחזור על הפעילויות, Binary Authorization מאמת את האימותים באמצעות גורם מאמת. אם כל האישורים של תמונה מאומתים, Binary Authorization מאפשר לפרוס את התמונה.

לפני שמתחילים

1. מפעילים את Binary Authorization.

2. מגדירים Binary Authorization באחד מהמוצרים הבאים:

   • Binary Authorization ל-Google Kubernetes Engine‏ (GKE)
   • Binary Authorization for Cloud Run
   • Binary Authorization for Google Distributed Cloud

משתמשים ב-Cloud Service Mesh צריכים להגדיר רק את מדיניות Binary Authorization. הוראות מפורטות מופיעות בהמשך המדריך בקטע הגדרת מדיניות.

יצירת גורם מאמת

כדי להשתמש באימותים, קודם צריך ליצור מאמתים. בזמן הפריסה, Binary Authorization משתמש בבודקים כדי לאמת את האישור שמשויך לקובץ האימג' של הקונטיינר.

אפשר ליצור מאמתים באמצעות השיטות הבאות:

• ‫Google Cloud CLI
• Google Cloud המסוף

הגדרת כלל מדיניות שדורש אישורים

בקטע הזה מוסבר איך להגדיר את המדיניות כך שיידרכו אישורים.

יצירת אישורים

אישורים נוצרים על ידי חותם. תהליך יצירת האימות נקרא גם חתימה על תמונה. החותם יכול להיות אדם שיוצר אישור באופן ידני. לחלופין, החותם יכול להיות שירות אוטומטי. הוראות שמתארות גישות שונות ליצירת אישורים מפורטות בדפים הבאים:

• יצירת אישורים באופן ידני על ידי חתימה על קובץ אימג' של קונטיינר.
• יצירת אישורים בצינור עיבוד נתונים של Cloud Build.

פריסת תמונה

אחרי שיוצרים אישור, אפשר לפרוס את התמונה המשויכת.

המאמרים הבאים

• הצגה של יומני ביקורת
• הצגת יומני ביקורת של Cloud Run breakglass
• שימוש ב-breakglass‏ (GKE)
• שימוש בגישת Breakglass (Cloud Run)
• שימוש ב-image digests במניפסטים של Kubernetes