Configure uma política de autorização binária com o Cloud Run

Neste guia de início rápido, mostramos como configurar e testar uma regra básica em uma política de autorização binária com o Cloud Run.

Neste guia de início rápido, você usará a autorização binária para controlar a implantação de um serviço do Cloud Run.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init

Crie um serviço com a autorização binária ativada

Para criar um serviço do Cloud Run com a autorização binária ativada, faça o seguinte:

  1. Acesse o Cloud Run

  2. Clique em Criar serviço para exibir o formulário Criar serviço.

    imagem

    No formulário exibido:

    1. Selecione o Cloud Run como a plataforma de desenvolvimento.
    2. Selecione a região em que você quer que o serviço esteja localizado.
    3. Especifique o nome que você quer dar ao seu serviço, por exemplo, test-service.

    4. Clique em Avançar para acessar a página Configurar a primeira revisão do serviço.

      No formulário, siga estas etapas:

      1. Selecione Implantar uma revisão de uma imagem de contêiner atual.

      2. Use us-docker.pkg.dev/cloudrun/container/hello como a imagem do contêiner.

      3. Expanda a seção Configurações avançadas.

      4. Clique na guia Security.

      5. Marque a caixa de seleção Verificar implantação do contêiner com autorização binária:

        imagem

        Por padrão, a política de autorização binária permite que todas as imagens sejam implantadas.

      6. Clique em Avançar para acessar a página Configurar como este serviço é acionado:

        imagem

      7. Selecione Permitir invocações não autenticadas para poder abrir o resultado no navegador da Web.

      8. Clique em Criar para implantar a imagem no Cloud Run e aguarde a conclusão da implantação.

      O serviço foi implantado. As revisões estão sujeitas à aplicação da política de autorização binária.

Atualizar a política de autorização binária para proibir todas as imagens

A política de autorização binária contém uma regra padrão. Essa regra rege a implantação do serviço do Cloud Run que você acabou de criar.

Por padrão, a regra permite que todas as imagens de contêiner sejam implantadas.

Para ver a política padrão, faça o seguinte:

  1. Acesse Autorização binária

    Captura de tela da guia "Política" mostrando a regra padrão

  2. Clique em Editar política.

  3. Em Regra padrão do projeto, a opção Permitir todas as imagens estará selecionada.

    Captura de tela da opção de escolher um tipo de regra padrão

Agora, modifique a política para impedir a implantação de todas as imagens da seguinte maneira:

  1. Acesse a página Autorização binária no Console do Google Cloud.

    Acesse Autorização binária

  2. Clique em Editar política.

  3. Em Regra padrão, selecione Não permitir todas as imagens.

    Captura de tela da opção de escolher um tipo de regra padrão

  4. Clique em Save Policy.

Reimplantar o serviço

Teste a política atualizada implantando uma nova revisão.

Para implantar a imagem:

  1. Acesse o Cloud Run

  2. Clique no nome do serviço que você implantou anteriormente neste guia.

  3. Clique em "Editar" e implante a nova revisão.

  4. Clique em Implantar.

Será exibida uma mensagem de erro parecida com esta:

Service update rejected by Binary Authorization policy: Revision
REVISION uses unauthorized container image. Container image 'us-docker.pkg.dev/cloudrun/container/hello@SHA' is not authorized by policy. Denied by an ALWAYS_DENY admission rule

Redefinir a política para permitir todas as imagens

Para redefinir a política para permitir todas as imagens, faça o seguinte:

  1. Acesse a página Autorização binária no Console do Google Cloud.

    Acesse Autorização binária

  2. Clique em Editar política.

  3. Selecione Permitir todas as imagens.

  4. Para salvar a política, clique em Salvar política.

Agora é possível implantar imagens.

Limpar

Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga estas etapas.

Para excluir o serviço criado no Cloud Run, faça o seguinte:

  1. Acesse o Cloud Run

  2. Localize o serviço que você quer excluir na lista de serviços e clique na caixa de seleção para marcá-lo.

  3. Clique em Excluir. Isso excluirá todas as revisões do serviço.

Para desativar a autorização binária, consulte Como desativar a autorização binária.

A seguir