Binary Authorization 是一种部署时安全控制措施,可确保仅将可信的容器映像部署到您的 Cloud Run 资源。借助 Binary Authorization,您可以要求在开发过程中由可信授权方对映像进行签名,然后在部署时强制执行签名验证。通过强制执行验证,您可以确保仅将经过验证的映像集成到构建和发布流程中,从而对容器环境实施更严格的控制。
了解如何为 Cloud Run 设置 Binary Authorization。
从 Binary Authorization 政策中豁免 Cloud Run 函数映像
如需在 Cloud Run 中部署函数,Binary Authorization 政策管理员必须使用许可名单模式配置 Binary Authorization 政策,以豁免指定的仓库及其子目录中的所有映像。
使用 Cloud Run Admin API 的函数
如果您使用 gcloud run deploy... 命令部署函数,请使用以下许可名单模式:
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**
启用许可名单后,请在启用了 Binary Authorization 并设置为 default 的情况下部署函数:
gcloud run deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
使用 Cloud Functions v2 API 的函数
如果您使用 gcloud functions deploy... 命令部署函数,请使用以下许可名单模式:
REGION-docker.pkg.dev/PROJECT_ID/gcf-artifacts/**
启用许可名单后,请在启用了 Binary Authorization 并设置为 default 的情况下部署函数:
gcloud functions deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default