Atualizar uma política de autorização binária

Neste documento, você verá como isentar imagens em Políticas de autorização binária.

Neste documento, você atualiza a política para isentar imagens de contêiner no Artifact Registry da aplicação da autorização binária e define a regra padrão para proibir a implantação de todos os outros contêineres.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Binary Authorization APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  7. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Artifact Registry, Binary Authorization APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  13. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init
  14. Se você não estiver usando o Cloud Shell, instale o kubectl.

    15. Criar um cluster com a autorização binária ativada

    Crie um cluster do GKE com a autorização binária ativada. Este é o cluster em que você quer executar as imagens de contêiner implantadas.

    Console do Google Cloud

    1. Acesse a página Clusters do GKE no Google Cloud console.

      Acessar o GKE

      O console exibe uma lista de clusters do GKE no seu projeto Google Cloud .

    2. Clique em Criar cluster.

    3. Digite test-cluster@ no campo Nome.

      Campo "Nome" no modelo de cluster padrão

    4. Selecione Zonal nas opções de Tipo de local.

    5. Selecione us-central1-a na lista suspensa Zona.

    6. Clique no link Segurança para exibir o painel Segurança.

    7. No painel Segurança, selecione Ativar autorização binária.

      Ativar opção de autorização binária

    8. Selecione Aplicar somente.

    9. Clique em Criar.

    gcloud

    Execute gcloud container clusters create com a sinalização --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ativada.

    gcloud container clusters create \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --zone us-central1-a \
    test-cluster

    Ver a política padrão

    Por padrão, sua política de autorização binária é configurada para permitir que todas as imagens de contêiner sejam implantadas.

    Console do Google Cloud

    Para ver a política padrão, faça o seguinte:

    1. Acesse a página Autorização binária no Google Cloud console.

      Acesse Autorização binária

      O console exibe detalhes sobre a política.

    2. Clique em Editar política.

    3. Em Regra padrão do projeto, a opção Permitir todas as imagens é selecionada.

    gcloud

    Para ver a política padrão, exporte o arquivo YAML da política:

    gcloud container binauthz policy export

    Por padrão, o arquivo tem o seguinte conteúdo:

    globalPolicyEvaluationMode: ENABLE
defaultAdmissionRule:
  evaluationMode: ALWAYS_ALLOW
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
name: projects/<var>PROJECT_ID</var>/policy

    API REST

    Para visualizar a política padrão, recupere-a no formato JSON da seguinte maneira:

    curl \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "x-goog-user-project: ${PROJECT_ID}" \
    "https://binaryauthorization.googleapis.com/v1/projects/${PROJECT_ID}/policy"

    A REST API retorna o seguinte:

    {
  "name": "projects/PROJECT_ID/policy",
  "globalPolicyEvaluationMode": "ENABLE",
  "defaultAdmissionRule": {
    "evaluationMode": "ALWAYS_ALLOW",
    "enforcementMode": "ENFORCED_BLOCK_AND_AUDIT_LOG"
  }
}

    Permitir apenas imagens isentas

    Nesta seção, descrevemos como modificar a política para isentar imagens e proibir a implantação de outras imagens.

    Console do Google Cloud

    Para modificar a política, faça o seguinte:

    1. Volte para a página Autorização binária no Google Cloud console.

      Acesse Autorização binária

    2. Clique em Editar política.

    3. Selecione Não permitir todas as imagens.

    4. Em Imagens isentas de regras de implantação, expanda Caminhos de imagem.

    5. Clique em Adicionar caminhos de imagem.

      Artifact Registry

      Em Novo caminho de imagem, cole o seguinte caminho de um repositório do Artifact Registry:

      us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0

    6. Clique em Concluído para salvar o caminho da imagem.

    7. Clique em Save Policy.

    gcloud

    Para modificar a política e permitir exemplos de imagens do Artifact Registry, faça o seguinte:

    1. Exporte o arquivo YAML da política:

      gcloud container binauthz policy export  > /tmp/policy.yaml

    2. Em um editor de texto, altere evaluationMode de ALWAYS_ALLOW para ALWAYS_DENY e adicione imagens isentas a admissionWhitelistPatterns.

      Para isentar as seguintes imagens de exemplo do Artifact Registry, modifique o arquivo YAML da política da seguinte maneira:

      admissionWhitelistPatterns:
- namePattern: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
globalPolicyEvaluationMode: ENABLE
defaultAdmissionRule:
  evaluationMode: ALWAYS_DENY
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
name: projects/<var>PROJECT_ID</var>/policy

    3. Importe o arquivo YAML da política para a autorização binária:

      gcloud container binauthz policy import /tmp/policy.yaml

    API REST

    Para modificar a política, faça o seguinte:

    1. Crie um arquivo de texto com a política atualizada no formato JSON:

      cat > /tmp/policy.json << EOM
{
  "name": "projects/${PROJECT_ID}/policy",
  "admissionWhitelistPatterns": [
    {
      "namePattern": "us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0"
    }
  ],
  "globalPolicyEvaluationMode": "ENABLE",
  "defaultAdmissionRule": {
    "evaluationMode": "ALWAYS_DENY",
    "enforcementMode": "ENFORCED_BLOCK_AND_AUDIT_LOG"
  }
}
EOM

    2. Envie a política atualizada para a API REST:

      curl -X PUT \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "x-goog-user-project: ${PROJECT_ID}" \
    --data-binary @/tmp/policy.json  \
    "https://binaryauthorization.googleapis.com/v1/projects/${PROJECT_ID}/policy"

    Testar a política

    Para testar a política implantando a imagem adicionada à lista de permissões Exempt image, faça o seguinte:

    1. Implante uma imagem isenta no cluster.

      Console do Google Cloud

      Implante uma imagem isenta:

      1. Acesse a página Clusters do GKE no Google Cloud console.

        Acessar o GKE

      2. Clique em Implantar.

        O console solicita que você insira detalhes sobre a implantação.

      3. Selecione Imagem de contêiner atual.

      4. Insira o caminho da imagem do contêiner.

        Artifact Registry

        Para implantar uma imagem pelo Artifact Registry, insira:

        us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0

      5. Clique em Continuar.

      6. Digite hello-server no campo Nome do aplicativo.

      7. Clique em Implantar.

      kubectl

      Artifact Registry

      Implante a imagem pelo Artifact Registry:

      kubectl run hello-server --image us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0 --port 8080

    2. Verifique se a imagem tinha permissão para implantar:

      Console do Google Cloud

      Para verificar se a imagem foi implantada, faça o seguinte:

      1. Acesse a página do GKE

      Acessar o GKE

      1. Acesse a página Cargas de trabalho.

      A carga de trabalho hello-server aparecerá com um ícone verde, indicando que está em execução.

      kubectl

      Para verificar se a imagem tinha permissão para implantar, digite o seguinte comando:

      kubectl get pods

      Você verá a imagem em execução.

    3. Exclua o pod.

      Console do Google Cloud

      Na página Cargas de trabalho do GKE:

      1. Selecione a carga de trabalho hello-server.

      2. Clique em Excluir.

      3. Quando solicitado a excluir recursos, clique em Excluir.

      kubectl 

      kubectl delete pod hello-server

    Limpar

    Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga as etapas abaixo.

    Exclua o cluster que você criou no GKE:

    Console

    Para excluir o cluster, faça o seguinte:

    1. Acesse a página Clusters do GKE no Google Cloud console.

      Acessar o GKE

    2. Selecione o cluster test-cluster e clique em Excluir.

    gcloud

    Para excluir o cluster, insira o comando:

    gcloud container clusters delete \
    --zone=us-central1-a \
    test-cluster

    A seguir