Descripción general de la configuración de Cloud Run

En esta página se ofrece una descripción general de cómo configurar la autorización binaria para usarla con servicios y trabajos de Cloud Run.

Cómo se aplican las políticas de autorización binaria a Cloud Run

Puedes definir una política de autorización binaria en servicios y trabajos de Cloud Run. Sin embargo, la aplicación de las políticas varía ligeramente entre los servicios y los trabajos de Cloud Run.

Políticas aplicadas a los servicios de Cloud Run

Cuando defines una política de autorización binaria en un servicio, Cloud Run comprueba la política cada vez que implementas una revisión nueva. Si la nueva revisión no cumple la política, la implementación fallará. Sin embargo, si esto ocurre, puedes usar la función Breakglass para saltarte la política de autorización binaria e implementar una revisión con un contenedor no conforme.

Los cambios en la política de Autorización Binaria no se aplican de forma retroactiva a las revisiones.

Políticas aplicadas a las tareas de Cloud Run

Cuando defines una política de autorización binaria en un trabajo, Cloud Run comprueba la política cada vez que ejecutas el trabajo. Si un trabajo tiene un contenedor no conforme:

• Aun así, puedes actualizar el trabajo correctamente.
• La tarea no se podrá ejecutar. Puedes usar la función breakglass para saltarte la política de autorización binaria en estas situaciones.

Los cambios en la política de autorización binaria no se aplican de forma retroactiva a las ejecuciones que ya están en curso.

Antes de empezar

Antes de usar la autorización binaria para Cloud Run, te recomendamos que configures tu entorno de Cloud Run.

Pasos de la configuración

Para configurar la autorización binaria en Cloud Run, sigue estos pasos:

1. Habilita la autorización binaria.
2. Recomendación: requiere la autorización binaria para Cloud Run mediante una política de organización.
3. Habilita la autorización binaria para Cloud Run.

4. Configura la política de autorización binaria.

   Puedes configurar las siguientes funciones en tu política:

   • Regla predeterminada:
   • Imágenes exentas. Más información sobre las imágenes exentas

   Para desplegar funciones en Cloud Run, el administrador de la política de autorización binaria debe configurar la política de autorización binaria para excluir todas las imágenes del REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**repositorio y sus subdirectorios.

5. Opcional: Usa el built-by-cloud-build verificador para desplegar solo imágenes creadas por Cloud Build (vista previa).

6. Opcional: Usar atestaciones.

7. Ver eventos de autorización binaria para Cloud Run en registros de auditoría de Cloud