Binary Authorization は、信頼できるコンテナ イメージのみが Cloud Run リソースにデプロイされることを保証する、デプロイ時のセキュリティ管理サービスです。Binary Authorization を使用すると、開発プロセス中に信頼できる機関によるイメージへの署名を必須にして、デプロイ時にその署名を検証できます。検証プロセスを適用することで、適切であると認められたイメージのみがビルドとリリースのプロセスに組み込まれるため、コンテナの環境をより厳密に管理できます。
Cloud Run の Binary Authorization を設定する方法をご覧ください。
Cloud Run functions のイメージを Binary Authorization ポリシーから除外する
Cloud Run に関数をデプロイするには、Binary Authorization ポリシー管理者が、許可リストパターンを使用して Binary Authorization ポリシーを構成し、指定されたリポジトリとそのサブディレクトリのイメージをすべて除外する必要があります。
Cloud Run Admin API を使用する関数
gcloud run deploy... コマンドを使用して関数をデプロイする場合は、次の許可リストパターンを使用します。
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**
許可リストを有効にしてから、Binary Authorization を有効にして関数をデプロイし、default に設定します。
gcloud run deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
Cloud Functions v2 API を使用する関数
gcloud functions deploy... コマンドを使用して関数をデプロイする場合は、次の許可リストパターンを使用します。
REGION-docker.pkg.dev/PROJECT_ID/gcf-artifacts/**
許可リストを有効にしてから、Binary Authorization を有効にして関数をデプロイし、default に設定します。
gcloud functions deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default