Cette page présente la configuration de l'autorisation binaire à utiliser avec les services et les jobs Cloud Run.
Comment les règles d'autorisation binaire sont-elles appliquées à Cloud Run
Vous pouvez définir une règle d'autorisation binaire sur les services et les jobs Cloud Run. Toutefois, l'application des règles varie légèrement entre les services et les jobs Cloud Run.
Règles appliquées aux services Cloud Run
Lorsque vous définissez une règle d'autorisation binaire sur un service, Cloud Run vérifie la règle chaque fois que vous déployez une nouvelle révision. Si la nouvelle révision n'est pas conforme à la règle, le déploiement échoue. Toutefois, dans ce cas, vous pouvez utiliser la fonctionnalité de bris de glace pour contourner la stratégie d'autorisation binaire et déployer une révision à l'aide d'un conteneur non conforme.
Les modifications apportées à la règle d'autorisation binaire ne s'appliquent pas rétroactivement aux révisions existantes.
Règles appliquées aux jobs Cloud Run
Lorsque vous définissez une règle d'autorisation binaire sur un job, Cloud Run vérifie cette règle chaque fois que vous exécutez le job. Si un job comporte un conteneur non conforme :
- Vous pouvez tout de même mettre à jour le job.
- L'exécution du job échouera. Vous pouvez utiliser la fonctionnalité de bris de glace pour contourner la règle d'autorisation binaire dans ces situations.
Les modifications apportées à la règle d'autorisation binaire ne s'appliquent pas rétroactivement aux exécutions déjà en cours.
Avant de commencer
Avant d'utiliser l'autorisation binaire pour Cloud Run, nous vous recommandons de configurer votre environnement Cloud Run.
Procédure de configuration
Pour configurer l'autorisation binaire pour Cloud Run, procédez comme suit :
- Activer l'autorisation binaire.
- Option recommandée : Nécessite une autorisation binaire pour Cloud Run à l'aide d'une règle d'administration.
- Activez l'autorisation binaire pour Cloud Run.
Configurez la stratégie d'autorisation binaire.
Vous pouvez configurer les fonctionnalités suivantes dans votre règle :
Pour déployer des fonctions dans Cloud Run, l'administrateur des règles d'autorisation binaire doit configurer la règle d'autorisation binaire afin d'exclure toutes les images du dépôt
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**
et de ses sous-répertoires.Facultatif : Utilisez le certificateur
built-by-cloud-build
pour déployer uniquement les images créées par Cloud Build (bêta).Facultatif : Utiliser des attestations.
Affichez l'autorisation binaire pour les événements Cloud Run dans Cloud Audit Logs.