Configure uma política de autorização binária com o Cloud Run

Neste guia de início rápido, mostramos como configurar e testar uma regra básica em uma política de autorização binária com o Cloud Run.

Neste guia de início rápido, você usará a autorização binária para controlar a implantação de um serviço do Cloud Run.

Antes de começar

  1. Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

  2. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  3. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  4. Ative as APIs Cloud Run, Artifact Registry, Binary Authorization.

    Ative as APIs

  5. Instale a CLI do Google Cloud.

  6. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init
    7.

  7. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  8. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  9. Ative as APIs Cloud Run, Artifact Registry, Binary Authorization.

    Ative as APIs

  10. Instale a CLI do Google Cloud.

  11. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init
    12.

Crie um serviço com a autorização binária ativada

Para criar um serviço do Cloud Run com a autorização binária ativada, faça o seguinte:

  1. Acesse o Cloud Run

  2. Clique em Criar serviço para exibir o formulário Criar serviço.

    imagem

    No formulário exibido:

    1. Selecione o Cloud Run como a plataforma de desenvolvimento.
    2. Selecione a região em que você quer que o serviço esteja localizado.
    3. Especifique o nome que você quer dar ao seu serviço, por exemplo, test-service.

    4. Clique em Avançar para acessar a página Configurar a primeira revisão do serviço.

      No formulário, siga estas etapas:

      1. Selecione Implantar uma revisão de uma imagem de contêiner atual.

      2. Use us-docker.pkg.dev/cloudrun/container/hello como a imagem do contêiner.

      3. Expanda a seção Configurações avançadas.

      4. Clique na guia Security.

      5. Marque a caixa de seleção Verificar implantação do contêiner com autorização binária:

        imagem

        Por padrão, a política de autorização binária permite que todas as imagens sejam implantadas.

      6. Clique em Avançar para acessar a página Configurar como este serviço é acionado:

        imagem

      7. Selecione Permitir invocações não autenticadas para poder abrir o resultado no navegador da Web.

      8. Clique em Criar para implantar a imagem no Cloud Run e aguarde a conclusão da implantação.

      O serviço foi implantado. As revisões estão sujeitas à aplicação da política de autorização binária.

Atualizar a política de autorização binária para proibir todas as imagens

A política de autorização binária contém uma regra padrão. Essa regra rege a implantação do serviço do Cloud Run que você acabou de criar.

Por padrão, a regra permite que todas as imagens de contêiner sejam implantadas.

Para ver a política padrão, faça o seguinte:

  1. Acesse Autorização binária

    Captura de tela da guia "Política" mostrando a regra padrão

  2. Clique em Editar política.

  3. Em Regra padrão do projeto, a opção Permitir todas as imagens estará selecionada.

    Captura de tela da opção de escolher um tipo de regra padrão

Agora, modifique a política para impedir a implantação de todas as imagens da seguinte maneira:

  1. Acesse a página Autorização binária no Console do Google Cloud.

    Acesse Autorização binária

  2. Clique em Editar política.

  3. Em Regra padrão, selecione Não permitir todas as imagens.

    Captura de tela da opção de escolher um tipo de regra padrão

  4. Clique em Save Policy.

Reimplantar o serviço

Teste a política atualizada implantando uma nova revisão.

Para implantar a imagem:

  1. Acesse o Cloud Run

  2. Clique no nome do serviço que você implantou anteriormente neste guia.

  3. Clique em "Editar" e implante a nova revisão.

  4. Clique em Implantar.

Será exibida uma mensagem de erro parecida com esta:

Service update rejected by Binary Authorization policy: Revision
REVISION uses unauthorized container image. Container image 'us-docker.pkg.dev/cloudrun/container/hello@SHA' is not authorized by policy. Denied by an ALWAYS_DENY admission rule

Redefinir a política para permitir todas as imagens

Para redefinir a política para permitir todas as imagens, faça o seguinte:

  1. Acesse a página Autorização binária no Console do Google Cloud.

    Acesse Autorização binária

  2. Clique em Editar política.

  3. Selecione Permitir todas as imagens.

  4. Para salvar a política, clique em Salvar política.

Agora é possível implantar imagens.

Limpar

Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga estas etapas.

Para excluir o serviço criado no Cloud Run, faça o seguinte:

  1. Acesse o Cloud Run

  2. Localize o serviço que você quer excluir na lista de serviços e clique na caixa de seleção para marcá-lo.

  3. Clique em Excluir. Isso excluirá todas as revisões do serviço.

Para desativar a autorização binária, consulte Como desativar a autorização binária.

A seguir