証明書の概要

このガイドでは、Binary Authorization 証明書の作成と使用方法について説明します。コンテナ イメージをビルドした後、必要なアクティビティ(回帰テスト、脆弱性スキャン、その他のテストなど)がイメージで実行されていることを確認するために証明書を作成できます。証明書は、イメージの一意のダイジェストに署名することで作成されます。

デプロイ中に、Binary Authorization は認証者を使用して証明書の検証を行います。アクティビティの繰り返しは行いません。イメージのすべての証明書が検証されると、Binary Authorization はイメージのデプロイを許可します。

始める前に

  1. Binary Authorization を有効にします

  2. 次のいずれかのプロダクトを使用して Binary Authorization を設定します。

Cloud Service Mesh ユーザーは、Binary Authorization ポリシーのみを設定する必要があります。これを行うには、このガイドの後の部分に記載されているポリシーを構成するをご覧ください。

認証者を作成する

証明書を使用するには、まず認証者を作成します。デプロイ時に、Binary Authorization は認証者を使用して、コンテナ イメージに関連付けられた証明書を検証します。

認証者を作成するには、次の方法を使用します。

証明書を要求するポリシールールを構成する

このセクションでは、証明書を要求するポリシーを構成する方法について説明します。

GKE

Cloud Run

次のいずれかの方法で、証明書を要求するデフォルト ルールを構成します。

Distributed Cloud

Cloud Service Mesh

Cloud Service Mesh ユーザーは、メッシュ サービス ID、Kubernetes サービス アカウント、または Kubernetes Namespace をスコープとするルールを作成できます(証明書が必要なルールを含む)。

特定のルールを構成するには、次の方法を使用します。

証明書を作成する

証明書は署名者によって作成されます。証明書を作成するプロセスは、イメージへの署名とも呼ばれます。署名者は、証明書を手動で作成するユーザーです。また、自動サービスを署名者として設定することもできます。証明書の作成手順の詳細については、次のページをご覧ください。

イメージをデプロイする

証明書を作成したら、関連するイメージをデプロイできます。

GKE

GKE を使用してイメージをデプロイします

Cloud Run

Cloud Run を使用してイメージをデプロイします

Distributed Cloud

Distributed Cloud を使用してイメージをデプロイします

Cloud Service Mesh

ポリシーを保存すると、直ちに Cloud Service Mesh ワークロードが適用されます。

次のステップ