Configura una política de autorización binaria con Cloud Run

En esta guía de inicio rápido, se muestra cómo configurar y probar una regla básica en una política de Autorización Binaria con Cloud Run.

En esta guía de inicio rápido, usarás la autorización binaria para controlar la implementación de un servicio de Cloud Run.

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init

Crea un servicio con la autorización binaria habilitada

Para crear un servicio de Cloud Run con la autorización binaria habilitada, sigue estos pasos:

  1. Ir a Cloud Run

  2. Hacer clic en Crear servicio para ver el formulario Create service (Crear servicio):

    imagen

    En el formulario que se muestra, haz lo siguiente:

    1. Selecciona Cloud Run como tu plataforma de desarrollo.
    2. Selecciona la región donde quieres que se ubique el servicio.
    3. Especifica el nombre que deseas asignarle al servicio, por ejemplo, test-service.

    4. Haz clic en Siguiente para ir a la página Configurar la primera revisión del servicio:

      En el formulario, haz lo siguiente:

      1. Selecciona Implementar una revisión desde una imagen de contenedor existente.

      2. Usa us-docker.pkg.dev/cloudrun/container/hello como la imagen de contenedor.

      3. Expande la sección Configuración avanzada.

      4. Haz clic en la pestaña Seguridad.

      5. Selecciona la casilla de verificación Verificar la implementación del contenedor con la autorización binaria:

        imagen

        De forma predeterminada, la política de autorización binaria permite que se implementen todas las imágenes.

      6. Haz clic en Siguiente para ir a la página Configurar cómo se activa este servicio:

        imagen

      7. Selecciona Allow unauthenticated invocations (Permitir invocaciones no autenticadas) para poder abrir el resultado en el navegador web.

      8. Haz clic en Crear para implementar la imagen en Cloud Run y espera a que termine la implementación.

      Se implementó tu servicio. Las revisiones están sujetas a la aplicación de la política de autorización binaria.

Actualiza la política de autorización binaria para inhabilitar todas las imágenes

La política de autorización binaria contiene una regla predeterminada. Esta regla rige la implementación del servicio de Cloud Run que acabas de crear.

De forma predeterminada, la regla permite que se implementen todas las imágenes de contenedor.

Para ver la política predeterminada, haz lo siguiente:

  1. Ve a Autorización binaria

    Captura de pantalla de la pestaña de la política que muestra la regla predeterminada

  2. Haz clic en Editar política.

  3. En Regla predeterminada del proyecto, ten en cuenta que la opción Permitir todas las imágenes está seleccionada.

    Captura de pantalla de la opción para elegir un tipo de regla predeterminado

Ahora, modifica la política para bloquear todas las imágenes para que no se implementen, de la siguiente manera:

  1. Ve a la página Autorización binaria (Binary Authorization) en la consola de Google Cloud.

    Ve a Autorización binaria

  2. Haz clic en Editar política.

  3. En Regla predeterminada, selecciona No permitir ninguna imagen.

    Captura de pantalla de la opción para elegir un tipo de regla predeterminado

  4. Haga clic en Save Policy.

Vuelve a implementar el servicio

Prueba la política actualizada mediante la implementación de una revisión nueva

Para implementar la imagen, haz lo siguiente:

  1. Ir a Cloud Run

  2. Haz clic en el nombre del servicio que implementaste antes en esta guía.

  3. Haz clic en Editar e implementar nueva revisión.

  4. Haz clic en Implementar.

Podría aparecer un mensaje de error similar a este:

Service update rejected by Binary Authorization policy: Revision
REVISION uses unauthorized container image. Container image 'us-docker.pkg.dev/cloudrun/container/hello@SHA' is not authorized by policy. Denied by an ALWAYS_DENY admission rule

Restablece la política para permitir todas las imágenes

Para restablecer la política a fin de permitir todas las imágenes, haz lo siguiente:

  1. Ve a la página Autorización binaria (Binary Authorization) en la consola de Google Cloud.

    Ve a Autorización binaria

  2. Haz clic en Editar política.

  3. Selecciona Permitir todas las imágenes.

  4. Para guardar la política, haz clic en Guardar política.

Ahora puedes implementar imágenes.

Libera espacio

Sigue estos pasos para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta página.

Para borrar el servicio que creaste en Cloud Run, haz lo siguiente:

  1. Ir a Cloud Run

  2. Buscar el servicio que deseas borrar en la lista de servicios y hacer clic en su casilla de verificación para seleccionarlo

  3. Haz clic en Borrar. Esta acción borra todas las revisiones del servicio

Para inhabilitar la autorización binaria, consulta Inhabilita la autorización binaria.

¿Qué sigue?