Membuat pengautentikasi menggunakan gcloud CLI

Halaman ini menjelaskan cara membuat attestor di Otorisasi Biner menggunakan Google Cloud CLI. Sebagai alternatif, Anda dapat melakukan langkah-langkah ini menggunakan Google Cloud konsol atau REST API. Tugas ini adalah bagian dari penyiapan Otorisasi Biner.

Pengguna Cloud Build: Anda dapat menggunakan attestor built-by-cloud-build untuk men-deploy hanya image yang dibuat oleh Cloud Build.

Attestor adalah Google Cloud resource yang digunakan Otorisasi Biner untuk memverifikasi pengesahan. Untuk mempelajari pengesahan lebih lanjut, lihat Ringkasan Otorisasi Biner.

Untuk membuat attestor, lakukan hal berikut:

  • Buat catatan di Analisis Artefak untuk menyimpan metadata tepercaya yang digunakan dalam proses pengesahan.
  • Siapkan pasangan kunci Infrastruktur Kunci Publik (X.509) (PKIX) yang dapat digunakan untuk memverifikasi identitas attestor. (Pasangan kunci asimetris yang dibuat oleh Cloud Key Management Service (Cloud KMS) berada dalam format yang kompatibel dengan PKIX.)
  • Buat attestor itu sendiri di Otorisasi Biner, dan kaitkan catatan serta kunci publik yang Anda buat.

Dalam penyiapan satu project, Anda membuat attestor di project yang sama Google Cloud tempat Anda mengonfigurasi kebijakan Otorisasi Biner policy. Untuk tutorial end-to-end satu project yang mencakup langkah-langkah ini, lihat Memulai menggunakan Google Cloud CLI atau Memulai menggunakan Google Cloud konsol.

Dalam penyiapan multi-project, sebaiknya Anda memiliki project terpisah: a project deployer, tempat kebijakan Anda dikonfigurasi; project attestor, tempat attestor Anda disimpan; dan project pengesahan untuk pengesahan. Untuk tutorial end-to-end multi-project yang mencakup langkah-langkah ini, lihat penyiapan multi-project.

Sebelum memulai

Sebelum membuat attestor, lakukan hal berikut:

  1. Aktifkan Otorisasi Biner.

  2. Siapkan Otorisasi Biner untuk platform Anda.

Menyiapkan lingkungan project

Di bagian ini, Anda akan menyiapkan variabel lingkungan.

Siapkan variabel lingkungan untuk menyimpan nama dan nomor project Anda. Jika project attestor dan deployer Anda adalah project yang sama, gunakan project ID yang sama untuk kedua variabel.

DEPLOYER_PROJECT_ID=DEPLOYER_PROJECT_ID=
DEPLOYER_PROJECT_NUMBER="$(
    gcloud projects describe "${DEPLOYER_PROJECT_ID}" \
      --format="value(projectNumber)"
)"

ATTESTOR_PROJECT_ID=ATTESTOR_PROJECT_ID
ATTESTOR_PROJECT_NUMBER="$(
    gcloud projects describe "${ATTESTOR_PROJECT_ID}" \
    --format="value(projectNumber)"
)"

Anda juga harus mendapatkan nama akun layanan untuk project:

DEPLOYER_SERVICE_ACCOUNT="service-${DEPLOYER_PROJECT_NUMBER}@gcp-sa-binaryauthorization.iam.gserviceaccount.com"
ATTESTOR_SERVICE_ACCOUNT="service-${ATTESTOR_PROJECT_NUMBER}@gcp-sa-binaryauthorization.iam.gserviceaccount.com"

Membuat catatan Analisis Artefak

Otorisasi Biner menggunakan Analisis Artefak untuk menyimpan metadata tepercaya yang digunakan dalam proses otorisasi. Untuk setiap attestor yang Anda buat, Anda harus membuat satu catatan Analisis Artefak note. Setiap pengesahan disimpan sebagai kemunculan catatan ini.

Untuk membuat catatan, ikuti langkah-langkah berikut:

  1. Siapkan variabel lingkungan untuk menyimpan ID catatan dan deskripsi yang mudah dibaca:

    NOTE_ID=NOTE_ID
NOTE_URI="projects/${ATTESTOR_PROJECT_ID}/notes/${NOTE_ID}"
DESCRIPTION=DESCRIPTION

    Ganti kode berikut:

    • NOTE_ID: nama internal catatan dalam karakter alfanumerik tanpa spasi—misalnya, test-attestor-note
    • NOTE_URI: jalur yang sepenuhnya memenuhi syarat ke resource catatan
    • DESCRIPTION: nama tampilan yang mudah dibaca untuk catatan—misalnya, Test Attestor Note

  2. Buat file JSON yang menjelaskan catatan:

    cat > /tmp/note_payload.json << EOF
{
  "name": "${NOTE_URI}",
  "attestation": {
    "hint": {
      "human_readable_name": "${DESCRIPTION}"
    }
  }
}
EOF

  3. Buat catatan dengan mengirimkan permintaan HTTP ke Artifact Analysis REST API:

    curl -X POST \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)"  \
    -H "x-goog-user-project: ${ATTESTOR_PROJECT_ID}" \
    --data-binary @/tmp/note_payload.json  \
    "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/?noteId=${NOTE_ID}"

    Untuk memverifikasi bahwa catatan berhasil dibuat, jalankan perintah berikut:

    curl \
    -H "Authorization: Bearer $(gcloud auth print-access-token)"  \
    -H "x-goog-user-project: ${ATTESTOR_PROJECT_ID}" \
    "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/"

Menetapkan izin IAM pada catatan

Anda harus memberikan peran Identity and Access Management (IAM) ke akun layanan project attestor pada resource catatan Analisis Artefak. Anda melakukannya dengan menambahkan akun layanan project attestor ke peran containeranalysis.notes.occurrences.viewer dalam kebijakan IAM catatan.

Untuk menambahkan peran, lakukan hal berikut:

  1. Buat file JSON yang berisi informasi yang diperlukan untuk menetapkan peran IAM pada catatan Anda:

    cat > /tmp/iam_request.json << EOM
{
  "resource": "${NOTE_URI}",
  "policy": {
    "bindings": [
      {
        "role": "roles/containeranalysis.notes.occurrences.viewer",
        "members": [
          "serviceAccount:${ATTESTOR_SERVICE_ACCOUNT}"
        ]
      }
    ]
  }
}
EOM

  2. Tambahkan akun layanan dan peran akses yang diminta ke kebijakan IAM untuk catatan yang Anda buat:

    curl -X POST  \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "x-goog-user-project: ${ATTESTOR_PROJECT_ID}" \
    --data-binary @/tmp/iam_request.json \
    "https://containeranalysis.googleapis.com/v1/projects/${ATTESTOR_PROJECT_ID}/notes/${NOTE_ID}:setIamPolicy"

Penggunaan multi-project

Jika Anda menyimpan attestor dalam satu project dan men-deploy di project terpisah, Anda harus memberikan peran roles/binaryauthorization.attestorsVerifier ke akun layanan yang terkait dengan project deployer pada attestor.

Menyiapkan kunci kriptografis

Otorisasi Biner memungkinkan Anda menggunakan kunci PKIX untuk memverifikasi pengesahan.

Membuat pasangan kunci

Dalam panduan ini, Anda menggunakan Elliptic Curve Digital Signature Algorithm (ECDSA) yang direkomendasikan untuk membuat pasangan kunci PKIX. Anda juga dapat menggunakan pasangan kunci RSA atau PGP. Lihat Tujuan dan algoritma kunci untuk mengetahui informasi selengkapnya tentang algoritma penandatanganan.

Pasangan kunci PKIX terdiri dari kunci pribadi yang penanda tangan gunakan untuk menandatangani pengesahan, dan kunci publik yang Anda tambahkan ke attestor. Pada waktu deployment, Otorisasi Biner menggunakan kunci publik ini untuk memverifikasi pengesahan.

PKIX (Cloud KMS)

Untuk membuat pasangan kunci di Cloud KMS, lakukan hal berikut:

  1. Untuk menyiapkan variabel lingkungan yang diperlukan untuk membuat pasangan kunci, jalankan perintah berikut:

    KMS_KEY_PROJECT_ID=KMS_KEY_PROJECT_ID
KMS_KEY_LOCATION=KMS_KEY_LOCATION
KMS_KEYRING_NAME=KMS_KEYRING_NAME
KMS_KEY_NAME=KMS_KEY_NAME
KMS_KEY_VERSION=KMS_KEY_VERSION
KMS_KEY_PURPOSE=asymmetric-signing
KMS_KEY_ALGORITHM=KMS_KEY_ALGORITHM
KMS_PROTECTION_LEVEL=KMS_PROTECTION_LEVEL

    Ganti kode berikut:

    • KMS_KEY_PROJECT_ID: ID project tempat kunci disimpan
    • KMS_KEY_LOCATION: lokasi kunci
    • KMS_KEYRING_NAME: nama key ring
    • KMS_KEY_NAME: nama kunci
    • KMS_KEY_VERSION: versi kunci
    • KMS_KEY_ALGORITHM: algoritma; ec-sign-p256-sha256 direkomendasikan
    • KMS_PROTECTION_LEVEL: tingkat perlindungan—misalnya, software

  2. Untuk membuat key ring, jalankan perintah berikut:

    gcloud kms keyrings create ${KMS_KEYRING_NAME} \
    --location ${KMS_KEY_LOCATION}

  3. Untuk membuat kunci, jalankan perintah berikut:

    gcloud kms keys create ${KMS_KEY_NAME} \
    --location ${KMS_KEY_LOCATION} \
    --keyring ${KMS_KEYRING_NAME}  \
    --purpose ${KMS_KEY_PURPOSE} \
    --default-algorithm ${KMS_KEY_ALGORITHM} \
    --protection-level ${KMS_PROTECTION_LEVEL}

    Ganti kode berikut:

    • KMS_KEY_NAME: nama kunci
    • KMS_KEY_LOCATION: lokasi kunci
    • KMS_KEYRING_NAME: nama key ring
    • KMS_KEY_PURPOSE: tujuan kunci, ditetapkan ke ASYMMETRIC_SIGN
    • KMS_KEY_ALGORITHM: algoritma, ec-sign-p256-sha256 direkomendasikan
    • KMS_PROTECTION_LEVEL: tingkat perlindungan—misalnya, software

PKIX (kunci lokal)

Untuk membuat pasangan kunci PKIX asimetris lokal baru dan menyimpannya dalam file, lakukan hal berikut:

  1. Buat kunci pribadi:

    PRIVATE_KEY_FILE adalah nama file yang berisi kunci pribadi yang digunakan untuk menandatangani payload pengesahan.

    PRIVATE_KEY_FILE="/tmp/ec_private.pem"
openssl ecparam -genkey -name prime256v1 -noout -out ${PRIVATE_KEY_FILE}

  2. Ekstrak kunci publik dari kunci pribadi dan simpan dalam file:

    PUBLIC_KEY_FILE adalah nama file yang berisi kunci publik yang disimpan di attestor.

    PUBLIC_KEY_FILE="/tmp/ec_public.pem"
openssl ec -in ${PRIVATE_KEY_FILE} -pubout -out ${PUBLIC_KEY_FILE}

Membuat attestor

Untuk membuat attestor, ikuti langkah-langkah berikut:

  1. Siapkan variabel lingkungan untuk menyimpan nama attestor seperti yang ditentukan dalam Otorisasi Biner:

    ATTESTOR_NAME=ATTESTOR_NAME

    dengan ATTESTOR_NAME adalah nama attestor yang ingin Anda buat (misalnya, build-secure atau prod-qa).

  2. Buat resource attestor di Otorisasi Biner:

    gcloud --project="${ATTESTOR_PROJECT_ID}" \
    container binauthz attestors create "${ATTESTOR_NAME}" \
    --attestation-authority-note="${NOTE_ID}" \
    --attestation-authority-note-project="${ATTESTOR_PROJECT_ID}"

  3. Tambahkan binding peran IAM untuk project deployer ke attestor. Hal ini digunakan oleh Otorisasi Biner saat mengevaluasi kebijakan untuk menentukan apakah project memiliki izin untuk mengakses pengesahan terkait.

    gcloud container binauthz attestors add-iam-policy-binding \
    "projects/${ATTESTOR_PROJECT_ID}/attestors/${ATTESTOR_NAME}" \
    --member="serviceAccount:${DEPLOYER_SERVICE_ACCOUNT}" \
    --role=roles/binaryauthorization.attestorsVerifier

  4. Untuk menambahkan kunci publik ke attestor, lakukan hal berikut:

    PKIX (Cloud KMS)

    Untuk menambahkan kunci publik dari pasangan kunci Cloud KMS ke attestor, jalankan perintah berikut:

    gcloud --project="${ATTESTOR_PROJECT_ID}" \
    container binauthz attestors public-keys add \
    --attestor="${ATTESTOR_NAME}" \
    --keyversion-project="${KMS_KEY_PROJECT_ID}" \
    --keyversion-location="${KMS_KEY_LOCATION}" \
    --keyversion-keyring="${KMS_KEYRING_NAME}" \
    --keyversion-key="${KMS_KEY_NAME}" \
    --keyversion="${KMS_KEY_VERSION}"

    PKIX (kunci lokal)

    Untuk menambahkan kunci publik PKIX yang disimpan secara lokal ke attestor, jalankan perintah berikut:

    gcloud --project="${ATTESTOR_PROJECT_ID}" \
    container binauthz attestors public-keys add \
    --attestor="${ATTESTOR_NAME}" \
    --pkix-public-key-file=${PUBLIC_KEY_FILE} \
    --pkix-public-key-algorithm=ecdsa-p256-sha256

    Jika Anda menambahkan kunci publik ke attestor dan tidak menentukan ID kunci (yang dapat berupa string apa pun), kunci tersebut akan otomatis diberi ID dalam format RFC 6920: ni:///sha-256;..., dengan ... adalah hash kunci publik yang dienkode. Nilai ini ditampilkan di kolom id output perintah. ID yang ditampilkan dapat disimpan di PUBLIC_KEY_ID dan digunakan untuk membuat pengesahan.

Menyimpan ID kunci publik

Untuk membuat pengesahan, Anda memerlukan ID kunci publik.

Untuk menyimpan ID kunci publik, Anda dapat menyalinnya dari output perintah binauthz attestors public-keys add di atas.

Atau, Anda dapat melihat ID kunci publik attestor kapan saja menggunakan perintah berikut:

gcloud container binauthz attestors describe ${ATTESTOR}.

Untuk menyimpan ID kunci publik dalam variabel lingkungan, masukkan perintah berikut:

PUBLIC_KEY_ID=$(gcloud container binauthz attestors describe ${ATTESTOR_NAME} \
--format='value(userOwnedGrafeasNote.publicKeys[0].id)')

Memverifikasi bahwa attestor telah dibuat

Untuk memverifikasi bahwa attestor telah dibuat, jalankan perintah berikut:

gcloud container binauthz attestors list \
    --project="${ATTESTOR_PROJECT_ID}"

Langkah berikutnya