Binary Authorization은 신뢰할 수 있는 컨테이너 이미지만 Cloud Run 리소스에 배포하는 배포 시점 보안 제어입니다. Binary Authorization을 사용하면 개발 프로세스 중에 신뢰할 수 있는 기관에서 이미지에 서명해야 한 후 배포 시 서명 유효성을 검사할 수 있습니다. 유효성을 검사하면 확인된 이미지만 빌드 및 출시 프로세스에 통합되어 컨테이너 환경을 보다 확실하게 제어할 수 있습니다.
Cloud Run용 Binary Authorization 설정 방법을 알아보세요.
Binary Authorization 정책에서 Cloud Run 함수 이미지 제외
Cloud Run에서 함수를 배포하려면 Binary Authorization 정책 관리자가 허용 목록 패턴을 사용하여 지정된 저장소 및 해당 하위 디렉터리에서 모든 이미지를 제외하도록 Binary Authorization 정책을 구성해야 합니다.
Cloud Run Admin API를 사용하는 함수
gcloud run deploy... 명령어를 사용하여 함수를 배포하는 경우 다음 허용 목록 패턴을 사용합니다.
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**
허용 목록을 사용 설정하고 Binary Authorization을 사용 설정한 상태에서 함수를 배포하고 default로 설정합니다.
gcloud run deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
Cloud Functions v2 API를 사용하는 함수
gcloud functions deploy... 명령어를 사용하여 함수를 배포하는 경우 다음 허용 목록 패턴을 사용합니다.
REGION-docker.pkg.dev/PROJECT_ID/gcf-artifacts/**
허용 목록을 사용 설정하고 Binary Authorization을 사용 설정한 상태에서 함수를 배포하고 default로 설정합니다.
gcloud functions deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
다음 단계
- Cloud Run용 Binary Authorization 설정 방법을 알아보세요.