Activer l'autorisation binaire

Pour activer l'autorisation binaire pour les clusters associés à GKE, procédez comme suit :

1. Activez l'API Binary Authorization dans votre projet :

   gcloud services enable binaryauthorization.googleapis.com \
     --project=PROJECT_ID
   

   Remplacez PROJECT_ID par l'ID de votre projetGoogle Cloud .

2. Attribuez le rôle binaryauthorization.policyEvaluator au compte de service Kubernetes associé à l'agent d'autorisation binaire :

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
     --role="roles/binaryauthorization.policyEvaluator"
   

3. Activez l'autorisation binaire lors de l'enregistrement ou de la mise à jour d'un cluster.

   Enregistrer un cluster

   Pour activer l'autorisation binaire lors de l'enregistrement d'un cluster, utilisez la commande gcloud container attached clusters register Suivez les instructions de la section Associer votre cluster AKS et incluez l'argument facultatif --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE :

   gcloud container attached clusters register CLUSTER_NAME \
     ...
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   Remplacez CLUSTER_NAME par le nom de votre cluster.

   Mettre à jour un cluster

   Pour activer l'autorisation binaire lors de la mise à jour d'un cluster, utilisez la commande gcloud container attached clusters update Suivez les instructions fournies dans la section Mettre à jour votre cluster AKS ; Vous devez inclure l'argument facultatif --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:

   gcloud container attached clusters update CLUSTER_NAME \
     ...
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   Remplacez CLUSTER_NAME par le nom de votre cluster.

En suivant ces étapes, vous vous assurez que seules les images fiables et validées sont utilisées pour créer des conteneurs Kubernetes dans vos clusters GKE. Cela permet de maintenir un environnement sécurisé pour vos applications.

Configurer des règles

L'activation de l'autorisation binaire seule ne protège pas automatiquement votre cluster. Par défaut, il autorise le déploiement de toutes les images de conteneurs si aucune règle n'est configurée. Cela signifie que, pour sécuriser efficacement votre cluster, vous devez définir et appliquer une règle qui spécifie les images autorisées. Pour savoir comment configurer une stratégie d'autorisation binaire, consultez Configurer une stratégie à l'aide de Google Cloud CLI.