Visão geral da configuração do Cloud Run

Nesta página, apresentamos uma visão geral de como configurar a autorização binária para uso com os serviços e jobs do Cloud Run.

Como as políticas de autorização binária são aplicadas ao Cloud Run

É possível definir uma política de autorização binária em serviços e jobs do Cloud Run. No entanto, a aplicação das políticas varia um pouco entre os serviços e jobs do Cloud Run.

Políticas aplicadas aos serviços do Cloud Run

Quando você define uma política de autorização binária em um serviço, o Cloud Run verifica a política sempre que você implantar uma nova revisão. Se a nova revisão não estiver em conformidade com a política, a implantação falhará. No entanto, se isso acontecer, você pode usar o recurso de acesso de emergência para ignorar a política de autorização binária e implantar uma revisão usando um contêiner que não está em conformidade.

As alterações na política de autorização binária não são aplicadas retroativamente a revisões existentes.

Políticas aplicadas a jobs do Cloud Run

Quando você define uma política de autorização binária em um job, o Cloud Run verifica a política sempre que você executa o job. Se um job tiver um contêiner que não seja compatível:

• Ainda é possível atualizar o job.
• A execução do job falhará. Nessas situações, use o recurso de acesso de emergência para ignorar a política de autorização binária.

As alterações na política de autorização binária não são aplicadas retroativamente às execuções em execução.

Antes de começar

Antes de usar a autorização binária para o Cloud Run, recomendamos que você configure seu ambiente do Cloud Run.

Etapas de configuração

Para configurar a autorização binária para o Cloud Run, execute estas etapas:

1. Ative a autorização binária.
2. Recomendado: exigir autorização binária para o Cloud Run usando uma política da organização.
3. Ative a autorização binária para o Cloud Run.

4. Configure a política de autorização binária.

   Você pode configurar os seguintes recursos na sua política:

   • Regra padrão.
   • Imagens isentas. Saiba mais sobre imagens isentas.

   Para implantar funções no Cloud Run, o administrador da política de autorização binária deve configurar a política de autorização binária para isentar todas as imagens do repositório de REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/** e seus subdiretórios.

5. Opcional: use o atestador built-by-cloud-build para implantar somente imagens criadas pelo Cloud Build (visualização).

6. Opcional: use atestados.

7. Ver a autorização binária para eventos do Cloud Run nos registros de auditoria do Cloud.