Menggunakan Otorisasi Biner

Otorisasi Biner adalah kontrol keamanan berdasarkan waktu deployment untuk memastikan bahwa hanya image container tepercaya yang di-deploy ke resource Cloud Run Anda. Dengan Otorisasi Biner, Anda dapat mewajibkan image untuk ditandatangani oleh otoritas tepercaya selama proses pengembangan, lalu menerapkan validasi tanda tangan saat melakukan deployment. Dengan menerapkan validasi, Anda dapat memperoleh kontrol lebih ketat atas lingkungan container dengan memastikan hanya image terverifikasi yang diintegrasikan ke proses build dan rilis.

Pelajari cara menyiapkan Otorisasi Biner untuk Cloud Run.

Mengecualikan image fungsi Cloud Run dari kebijakan Otorisasi Biner

Untuk men-deploy fungsi di Cloud Run, administrator kebijakan Otorisasi Biner harus mengonfigurasi kebijakan Otorisasi Biner menggunakan pola daftar yang diizinkan untuk mengecualikan semua image dari repositori yang ditentukan dan subdirektorinya.

Fungsi yang menggunakan Cloud Run Admin API

Jika Anda men-deploy fungsi dengan perintah gcloud run deploy..., gunakan pola daftar yang diizinkan ini:

REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**

Dengan mengaktifkan daftar yang diizinkan, deploy fungsi Anda dengan Otorisasi Biner diaktifkan dan ditetapkan ke default:

  gcloud run deploy YOUR_FUNCTION_NAME \
    ...
    --binary-authorization default

Fungsi yang menggunakan Cloud Functions v2 API

Jika Anda men-deploy fungsi dengan perintah gcloud functions deploy..., gunakan pola daftar yang diizinkan ini:

REGION-docker.pkg.dev/PROJECT_ID/gcf-artifacts/**

Dengan mengaktifkan daftar yang diizinkan, deploy fungsi Anda dengan mengaktifkan Otorisasi Biner dan menetapkannya ke default:

  gcloud functions deploy YOUR_FUNCTION_NAME \
    ...
    --binary-authorization default

Langkah berikutnya

• Pelajari cara menyiapkan Otorisasi Biner pada Cloud Run.