Questa pagina fornisce una panoramica su come configurare l'autorizzazione binaria per l'utilizzo con i servizi e i job Cloud Run.
Come vengono applicate le norme di autorizzazione binaria a Cloud Run
Puoi impostare un criterio di autorizzazione binaria sui servizi e sui job Cloud Run. Tuttavia, l'applicazione delle norme varia leggermente tra i servizi e i job Cloud Run.
Criteri applicati ai servizi Cloud Run
Quando imposti un criterio di autorizzazione binaria su un servizio, Cloud Run lo controlla ogni volta che esegui il deployment di una nuova revisione. Se la nuova revisione non è conforme alle norme, il deployment non andrà a buon fine. Tuttavia, in questo caso, puoi utilizzare la funzionalità breakglass per bypassare il criterio di autorizzazione binaria e implementare una revisione utilizzando un contenitore non conforme.
Le modifiche al criterio di autorizzazione binaria non vengono applicate retroattivamente alle revisioni esistenti.
Norme applicate ai job Cloud Run
Quando imposti un criterio di autorizzazione binaria su un job, Cloud Run lo controlla ogni volta che esegui il job. Se un job ha un contenitore non conforme:
- Puoi comunque aggiornare il job correttamente.
- L'esecuzione del job non andrà a buon fine. In queste situazioni, puoi utilizzare la funzionalità di emergenza per bypassare il criterio di autorizzazione binaria.
Le modifiche ai criteri di autorizzazione binaria non vengono applicate retroattivamente alle esecuzioni già in corso.
Prima di iniziare
Prima di utilizzare l'autorizzazione binaria per Cloud Run, ti consigliamo di configurare l'ambiente Cloud Run.
Procedura di configurazione
Per configurare l'autorizzazione binaria per Cloud Run, svolgi i seguenti passaggi:
- Attiva Autorizzazione binaria.
- Consigliato: richiedi l'autorizzazione binaria per Cloud Run utilizzando un criterio dell'organizzazione.
- Attiva Autorizzazione binaria per Cloud Run.
Configura il criterio di Autorizzazione binaria.
Puoi configurare le seguenti funzionalità nel criterio:
Per eseguire il deployment delle funzioni in Cloud Run, l'amministratore dei criteri di Autorizzazione binaria deve configurare il criterio di Autorizzazione binaria in modo da esentare tutte le immagini dal repository
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**e dalle relative sottodirectory.(Facoltativo) Utilizza l'attestatore
built-by-cloud-buildper eseguire il deployment solo delle immagini create da Cloud Build (Anteprima).(Facoltativo) Utilizza le attestazioni.
Visualizza gli eventi di Autorizzazione binaria per Cloud Run in Cloud Audit Logs.