7.11. 配置信任值、策略和 secret
您可以为 Trustee 配置以下值、策略和 secret:
- 可选:参考值提供程序服务的引用值。
- IBM Secure Execution 的测试策略。
- 可选: Trustee 客户端的自定义密钥的 Secret。
- 可选:用于容器镜像签名验证的 Secret。
- 容器镜像签名验证策略。这个策略是必需的。如果不使用容器镜像签名验证,您必须创建一个不验证签名的策略。
- 资源访问策略。
7.11.1. 配置参考值
您可以通过指定硬件平台的可信摘要来配置参考值。
客户端从正在运行的软件、受信任的执行环境(TEE)硬件和固件中收集测量,并将声明中的引用提交到 Attestation Server。这些测量必须与注册到 Trustee 的可信摘要匹配。此过程可确保机密虚拟机(CVM)正在运行预期的软件堆栈,并且未被篡改。
流程
创建
rvps-configmap.yaml清单文件:apiVersion: v1 kind: ConfigMap metadata: name: rvps-reference-values namespace: trustee-operator-system data: reference-values.json: | [ 1 ]- 1
- 该值留空。
运行以下命令来创建 RVPS 配置映射:
$ oc apply -f rvps-configmap.yaml
7.11.2. 为 IBM 安全执行创建 attestation 策略
您必须为 IBM Secure Execution 创建 attestation 策略。
流程
创建
attestation-policy.yaml清单文件:apiVersion: v1 kind: ConfigMap metadata: name: attestation-policy namespace: trustee-operator-system data: default.rego: | 1 package policy import rego.v1 default allow = false converted_version := sprintf("%v", [input["se.version"]]) allow if { input["se.attestation_phkh"] == "<se.attestation_phkh>" 2 input["se.image_phkh"] == "<se.image_phkh>" input["se.tag"] == "<se.tag>" converted_version == "256" }
运行以下命令来创建 attestation 策略配置映射:
$ oc apply -f attestation-policy.yaml
7.11.3. 使用客户端自定义密钥创建 secret
您可以为 Trustee 客户端创建一个包含一个或多个自定义密钥的 secret。
在本例中,kbsres1 机密有两个条目(key 1、key2),客户端会检索它们。您可以使用相同的格式根据您的要求添加额外的 secret。
先决条件
- 您已创建了一个或多个自定义密钥。
流程
根据以下示例,为自定义密钥创建 secret:
$ oc apply secret generic kbsres1 \ --from-literal key1=<custom_key1> \ 1 --from-literal key2=<custom_key2> \ -n trustee-operator-system- 1
- 指定自定义密钥。
kbsres1secret 在KbsConfig自定义资源的spec.kbsSecretResources键中指定。
7.11.4. 为容器镜像签名验证创建 secret
如果使用容器镜像签名验证,您必须创建一个包含公共容器镜像签名密钥的 secret。
Confidential compute attestation Operator 使用 secret 来验证签名,确保环境中仅部署可信和经过身份验证的容器镜像。
您可以使用 Red Hat Trusted Artifact Signer 或其他工具为容器镜像签名。
7.11.5. 创建容器镜像签名验证策略
您可以创建容器镜像签名验证策略,因为始终启用签名验证。如果缺少此策略,则 pod 不会启动。
如果您不使用容器镜像签名验证,您可以在不签名验证的情况下创建策略。
如需更多信息,请参阅 containers-policy.json 5。
流程
根据以下示例创建
security-policy-config.json文件:没有签名验证:
{ "default": [ { "type": "insecureAcceptAnything" }], "transports": {} }使用签名验证:
{ "default": [ { "type": "insecureAcceptAnything" } ], "transports": { "<transport>": { 1 "<registry>/<image>": 2 [ { "type": "sigstoreSigned", "keyPath": "kbs:///default/<type>/<tag>" 3 } ] } } }
运行以下命令来创建安全策略:
$ oc apply secret generic security-policy \ --from-file=osc=./<security-policy-config.json> \ -n trustee-operator-system
不要更改机密类型
security-policy或 key,osc。security-policysecret 在KbsConfig自定义资源的spec.kbsSecretResources键中指定。
7.11.6. 创建资源访问策略
您可以为 Trustee 策略引擎配置资源访问策略。此策略决定信任哪个资源可以访问。
Trustee 策略引擎与 Attestation Service 策略引擎不同,后者决定了 TEE 证据的有效性。
流程
创建
resourcepolicy-configmap.yaml清单文件:apiVersion: v1 kind: ConfigMap metadata: name: resource-policy namespace: trustee-operator-system data: policy.rego: | 1 package policy 2 path := split(data["resource-path"], "/") default allow = false allow { count(path) == 3 input["tee"] == "se" }
- 1
- 资源策略
policy.rego的名称必须与 Trustee 配置映射中定义的资源策略匹配。 - 2
- 资源策略遵循 Open Policy Agent 规格。当 TEE 不是 tester 的示例时,此示例允许检索所有资源。
运行以下命令来创建资源策略配置映射:
$ oc apply -f resourcepolicy-configmap.yaml
