PCD#252(deploying)
監査要件として、本番 GKE クラスタに配置される全コンテナイメージが Cloud Build 経由でビルドされ、特定の attestor で署名されている必要があります。実装に必要なコンポーネントの組み合わせはどれですか(2 つ選択)。
(2つ選択)
正解:B, C
正解の根拠
Binary Authorization は GKE Pod 起動時にイメージへの attestation 検証を行い、policy で require-attestation を有効化することで未署名イメージを拒否できます。Cloud Build と連携した attestor を登録すると、ビルド成功時に attestation が自動付与され、要件である「Cloud Build 経由ビルド+特定 attestor 署名」の双方を満たせます。
| コンポーネント | 役割 |
|---|---|
| BinAuthz policy | 起動時に attestation を検証 |
| attestor | 署名主体・公開鍵の保持 |
| Cloud Build integration | ビルド成功時に署名生成 |
不正解の理由
- A: Cloud DNS の内部解決はネットワーク経路設定で、イメージ署名検証の機能とは無関係です。
- D: VPC SC はデータ境界制御で、コンテナ署名やビルド経路の検証手段ではありません。
コメント