Habilitar autorización binaria

Para habilitar Autorización Binaria para clústeres conectados de GKE, sigue estos pasos:

1. Habilita la API de Autorización Binaria en tu proyecto.

   gcloud services enable binaryauthorization.googleapis.com \
     --project=PROJECT_ID
   

   Reemplaza PROJECT_ID por el ID de tu proyecto deGoogle Cloud .

2. Otorga el rol binaryauthorization.policyEvaluator a la cuenta de servicio de Kubernetes asociada con el agente de Autorización Binaria:

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
     --role="roles/binaryauthorization.policyEvaluator"
   

3. Habilita la autorización binaria cuando registres o actualices un clúster.

   Registra un clúster

   Para habilitar la autorización binaria cuando registras un clúster, usa el comando gcloud container attached clusters register. Sigue las instrucciones en Conecta tu clúster de EKS y, luego, incluye el argumento opcional --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:

   gcloud container attached clusters register CLUSTER_NAME \
     ...
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   Reemplaza CLUSTER_NAME por el nombre del clúster.

   Actualiza un clúster

   Para habilitar la autorización binaria cuando actualizas un clúster, usa el comando gcloud container attached clusters update. Sigue las instrucciones en actualiza tu clúster de EKS y, luego, incluye el argumento opcional --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:

   gcloud container attached clusters update CLUSTER_NAME \
     ...
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   Reemplaza CLUSTER_NAME por el nombre del clúster.

Si sigues estos pasos, te aseguras de que solo se usen imágenes confiables y verificadas para crear contenedores de Kubernetes en tus clústeres de GKE. Esto ayuda a mantener un entorno seguro para tus aplicaciones.

Configura políticas

Habilitar la Autorización binaria por sí sola no protege automáticamente tu clúster. De forma predeterminada, permite que se implementen todas las imágenes de contenedor si no se configura ninguna política. Esto significa que, para proteger tu clúster de manera eficaz, debes definir y aplicar una política que especifique qué imágenes están permitidas. Para obtener información sobre cómo configurar una política de autorización binaria, consulta Configura una política con Google Cloud CLI.