このページでは、Cloud Run サービスとジョブで使用できるように Binary Authorization を設定する方法の概要について説明します。
Cloud Run に Binary Authorization ポリシーを適用する方法
Cloud Run のサービスとジョブに Binary Authorization ポリシーを設定できます。ただし、ポリシーの適用は、Cloud Run サービスとジョブとで若干異なります。
Cloud Run サービスに適用されるポリシー
Binary Authorization ポリシーをサービスに設定すると、Cloud Run は新しいリビジョンをデプロイするたびにポリシーを確認します。新しいリビジョンがポリシーを遵守していない場合、デプロイは失敗します。その場合は、ブレークグラス機能を使用して Binary Authorization ポリシーをバイパスし、遵守していないコンテナを使用してリビジョンをデプロイできます。
Binary Authorization ポリシーの変更が、既存のリビジョンに遡って適用されることはありません。
Cloud Run ジョブに適用されるポリシー
ジョブに Binary Authorization ポリシーを設定すると、Cloud Run はジョブを実行するたびにポリシーを確認します。ジョブに非遵守のコンテナがある場合:
- ジョブは正常に更新できます。
- ジョブの実行は失敗します。このような状況では、ブレークグラス機能を使用して Binary Authorization ポリシーをバイパスできます。
Binary Authorization ポリシーの変更が、すでに実行中の実行に遡って適用されることはありません。
始める前に
Cloud Run で Binary Authorization を使用する前に、Cloud Run 環境を設定することをおすすめします。
設定手順
Cloud Run の Binary Authorization を設定するには、次の手順を行います。
- Binary Authorization を有効にします。
- 推奨: 組織のポリシーを使用して Cloud Run で Binary Authorization を必須にします。
- Cloud Run で Binary Authorization を有効にします。
Binary Authorization ポリシーを構成します。
ポリシーでは、次の機能を構成できます。
Cloud Run に関数をデプロイするには、Binary Authorization ポリシー管理者が、
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**
リポジトリとそのサブディレクトリのすべてのイメージを除外するように Binary Authorization ポリシーを構成する必要があります。省略可:
built-by-cloud-build
認証者を使用して、Cloud Build によってビルドされたイメージのみをデプロイする(プレビュー)。省略可: 証明書を使用する。
Cloud Audit Logs で Cloud Run イベント用の Binary Authorization を表示する。