Nesta página, apresentamos uma visão geral de como configurar a autorização binária para uso com os serviços e jobs do Cloud Run.
Como as políticas de autorização binária são aplicadas ao Cloud Run
É possível definir uma política de autorização binária em serviços e jobs do Cloud Run. No entanto, a aplicação das políticas varia um pouco entre os serviços e jobs do Cloud Run.
Políticas aplicadas aos serviços do Cloud Run
Quando você define uma política de autorização binária em um serviço, o Cloud Run verifica a política sempre que você implantar uma nova revisão. Se a nova revisão não estiver em conformidade com a política, a implantação falhará. No entanto, se isso acontecer, você pode usar o recurso de acesso de emergência para ignorar a política de autorização binária e implantar uma revisão usando um contêiner que não está em conformidade.
As alterações na política de autorização binária não são aplicadas retroativamente a revisões existentes.
Políticas aplicadas a jobs do Cloud Run
Quando você define uma política de autorização binária em um job, o Cloud Run verifica a política sempre que você executa o job. Se um job tiver um contêiner que não seja compatível:
- Ainda é possível atualizar o job.
- A execução do job falhará. Nessas situações, use o recurso de acesso de emergência para ignorar a política de autorização binária.
As alterações na política de autorização binária não são aplicadas retroativamente às execuções em execução.
Antes de começar
Antes de usar a autorização binária para o Cloud Run, recomendamos que você configure seu ambiente do Cloud Run.
Etapas de configuração
Para configurar a autorização binária para o Cloud Run, execute estas etapas:
- Ative a autorização binária.
- Recomendado: exigir autorização binária para o Cloud Run usando uma política da organização.
- Ative a autorização binária para o Cloud Run.
Configure a política de autorização binária.
Você pode configurar os seguintes recursos na sua política:
Para implantar funções no Cloud Run, o administrador da política de autorização binária deve configurar a política de autorização binária para isentar todas as imagens do repositório de
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**
e seus subdiretórios.Opcional: use o atestador
built-by-cloud-build
para implantar somente imagens criadas pelo Cloud Build (visualização).Opcional: use atestados.
Ver a autorização binária para eventos do Cloud Run nos registros de auditoria do Cloud.