二進位授權是一種部署作業期間的安全性控管機制,可確保只有受信任的容器映像檔能部署至 Cloud Run 資源。使用二進位授權之後,您就能要求映像檔在開發過程中必須由受信任的單位簽署,並在部署時強制執行簽名驗證程序。透過強制執行驗證程序,您可以確保只有通過驗證的映像檔會整合至建構與發布的程序中,藉此更嚴謹地控管容器環境。
瞭解如何為 Cloud Run 設定二進位授權。
將 Cloud Run 函式映像檔從二進位授權政策中豁免
如要在 Cloud Run 中部署函式,二進位授權政策管理員必須使用許可清單模式設定二進位授權政策,將指定存放區及其子目錄中的所有映像檔排除。
使用 Cloud Run Admin API 的函式
如果您使用 gcloud run deploy... 指令部署函式,請使用以下許可清單模式:
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**
啟用許可清單後,請部署函式,並啟用二進位授權並設為 default:
gcloud run deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
使用 Cloud Functions v2 API 的函式
如果您使用 gcloud functions deploy... 指令部署函式,請使用以下許可清單模式:
REGION-docker.pkg.dev/PROJECT_ID/gcf-artifacts/**
啟用許可清單後,請啟用二進位授權並將其設為 default,然後部署函式:
gcloud functions deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
後續步驟
- 瞭解如何為 Cloud Run 設定二進位授權。