Mewajibkan Otorisasi Biner untuk Cloud Run

Halaman ini menjelaskan cara mengonfigurasi kebijakan organisasi yang mewajibkan penerapan Otorisasi Biner pada image container yang di-deploy ke Cloud Run. Anda dapat mewajibkan penerapan untuk project, folder, atau organisasi.

Sebelum memulai

Anda harus memiliki izin untuk mengubah kebijakan organisasi untuk menetapkan batasan ini. Misalnya, peran orgpolicy.policyAdmin memiliki izin untuk menetapkan batasan kebijakan organisasi. Peran resourcemanager.organizationAdmin memiliki izin untuk menambahkan pengguna sebagai Administrator Kebijakan Organisasi. Baca halaman Menggunakan Batasan untuk mempelajari lebih lanjut cara mengelola kebijakan di tingkat organisasi. Anda dapat menggunakan batasan kustom untuk mewajibkan agar Otorisasi Biner disetel ke default di tingkat project.

Menetapkan kebijakan organisasi

Bagian ini menunjukkan cara menetapkan kebijakan organisasi untuk mewajibkan penerapan Otorisasi Biner pada image yang di-deploy ke Cloud Run. Anda dapat menetapkan kebijakan menggunakan konsol Google Cloud atau Google Cloud CLI.

Konsol

Untuk menetapkan kebijakan organisasi menggunakan konsol Google Cloud , lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman Kebijakan organisasi.

    Buka Organization policies

  2. Di Project Selector di bagian atas halaman, lakukan hal berikut:

    1. Pilih organisasi yang kebijakannya ingin Anda tetapkan.

      Anda dapat menetapkan kebijakan di tingkat organisasi, folder, atau project menggunakan ID folder dan ID project. Untuk mempelajari lebih lanjut, lihat Menggunakan batasan.

    2. Untuk menyelesaikan pilihan, klik Buka.

  3. Di Filter, masukkan berikut ini:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Untuk mengedit detail kebijakan, di Detail kebijakan, klik Edit.

  5. Di bagian Berlaku untuk, klik Sesuaikan.

  6. Pastikan Policy type disetel ke Allow.

Untuk menetapkan kebijakan Otorisasi Biner default yang diperlukan oleh kebijakan organisasi, lakukan hal berikut:

  1. Di Nilai kustom, di kolom teks, ketik default.

    Nilai kebijakan harus ditetapkan ke default. Menetapkan nilai ke default mengonfigurasi Otorisasi Biner untuk menggunakan kebijakan di project yang sama dengan layanan Cloud Run Anda.

  2. Untuk menyimpan kebijakan organisasi ini, klik Simpan.

gcloud

Untuk menetapkan kebijakan organisasi menggunakan gcloud, lakukan hal berikut:

gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \
  default \
  --organization=ORGANIZATION_ID

Ganti ORGANIZATION_ID dengan ID numerik organisasi.

Anda juga dapat menerapkan kebijakan organisasi ke folder atau project dengan flag --folder atau --project, serta ID folder dan project ID, masing-masing.

Melihat kebijakan organisasi

Anda dapat melihat kebijakan organisasi menggunakan konsol Google Cloud atau gcloud.

Konsol

  1. Di konsol Google Cloud , buka halaman Kebijakan organisasi.

    Buka Organization policies

  2. Di Project Selector, pilih organisasi yang ingin Anda lihat kebijakannya.

  3. Di Filter, masukkan berikut ini:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Untuk menyelesaikan pilihan, klik Buka.

  5. Anda dapat melihat konfigurasi kebijakan Allowed Binary Authorization Policies (Cloud Run).

gcloud

Untuk melihat kebijakan organisasi yang mewajibkan Otorisasi Biner untuk Cloud Run di organisasi, masukkan perintah berikut:

gcloud resource-manager org-policies describe \
  run.allowedBinaryAuthorizationPolicies \
  --effective \
  --organization=ORGANIZATION_ID

Ganti ORGANIZATION_ID dengan ID numerik organisasi.

Mengembalikan kebijakan

Anda dapat mengembalikan kebijakan sehingga Cloud Run tidak lagi memerlukan penerapan Otorisasi Biner menggunakan konsol Google Cloud atau gcloud.

Konsol

Untuk mengembalikan kebijakan menggunakan konsol Google Cloud , lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman Kebijakan organisasi.

    Buka Organization policies

  2. Di Project Selector, pilih organisasi yang ingin Anda kembalikan kebijakannya.

  3. Di Filter, masukkan berikut ini:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Untuk menyelesaikan pilihan, klik Buka.

  5. Untuk mengedit detail kebijakan, di Detail kebijakan, klik Edit.

  6. Di Berlaku untuk, pilih Inherit parent's policy.

  7. Untuk menyimpan kebijakan organisasi, klik Simpan.

gcloud

Untuk mengembalikan kebijakan menggunakan gcloud, lakukan hal berikut:

gcloud resource-manager org-policies delete \
  run.allowedBinaryAuthorizationPolicies \
  --organization=ORGANIZATION_ID

Ganti ORGANIZATION_ID dengan ID numerik organisasi.

Perintah ini menampilkan hal berikut:

Deleted [<Empty>]

Atau, Anda dapat melihat kebijakan organisasi dan memperhatikan bahwa Pewarisan ditetapkan ke Inherit, bukan custom, dan tidak ada nilai kustom yang ditetapkan.

Langkah berikutnya