איך מפעילים את Binary Authorization

כדי להפעיל את Binary Authorization ב-GKE ב-AWS, מבצעים את השלבים הבאים:

1. מפעילים את Binary Authorization API בפרויקט:

   gcloud services enable binaryauthorization.googleapis.com \
     --project=PROJECT_ID
   

   מחליפים את PROJECT_ID במזהה שלGoogle Cloud הפרויקט.

2. מקצים את התפקיד binaryauthorization.policyEvaluator לחשבון השירות של Kubernetes שמשויך לסוכן Binary Authorization:

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
     --role="roles/binaryauthorization.policyEvaluator"
   

3. מפעילים את Binary Authorization כשיוצרים או מעדכנים אשכול. חשוב לכלול את הדגל --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE כי הוא מפעיל את Binary Authorization:

   יצירת אשכול

   gcloud container aws clusters create CLUSTER_NAME \
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   מחליפים את CLUSTER_NAME בשם האשכול.

   עדכון אשכול

   gcloud container aws clusters update CLUSTER_NAME \
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   מחליפים את CLUSTER_NAME בשם האשכול.

השלבים האלה מבטיחים שרק תמונות מהימנות ומאומתות ישמשו ליצירת קונטיינרים של Kubernetes באשכולות GKE. כך אנחנו שומרים על סביבה מאובטחת לאפליקציות שלכם.