Diese Seite bietet einen Überblick über die Einrichtung der Binärautorisierung für die Verwendung mit Cloud Run-Diensten und -Jobs.
Richtlinien für die Binärautorisierung auf Cloud Run anwenden
Sie können eine Richtlinie für die Binärautorisierung für Cloud Run-Dienste und -Jobs festlegen. Die Richtliniendurchsetzung variiert jedoch leicht zwischen Cloud Run-Diensten und -Jobs.
Auf Cloud Run-Dienste angewendete Richtlinien
Wenn Sie für einen Dienst eine Richtlinie für die Binärautorisierung festlegen, prüft Cloud Run die Richtlinie jedes Mal, wenn Sie eine neue Überarbeitung bereitstellen. Wenn die neue Überarbeitung nicht der Richtlinie entspricht, schlägt die Bereitstellung fehl. In diesem Fall können Sie mit der Funktion Break-Glass jedoch die Richtlinie für die Binärautorisierung umgehen und eine Überarbeitung mit einem nicht konformen Container bereitstellen.
Änderungen an der Richtlinie für die Binärautorisierung gelten nicht rückwirkend für vorhandene Überarbeitungen.
Auf Cloud Run-Jobs angewendete Richtlinien
Wenn Sie für einen Job eine Richtlinie für die Binärautorisierung festlegen, prüft Cloud Run die Richtlinie jedes Mal, wenn Sie den Job ausführen. Wenn ein Job einen nicht konformen Container hat:
- Sie können den Job trotzdem erfolgreich aktualisieren.
- Das Ausführen des Jobs schlägt fehl. In diesen Fällen können Sie die Richtlinie Break-Glass verwenden, um die Richtlinie für die Binärautorisierung zu umgehen.
Änderungen an der Richtlinie für die Binärautorisierung gelten nicht rückwirkend für bereits ausgeführte Ausführungen.
Hinweis
Bevor Sie die Binärautorisierung für Cloud Run verwenden, sollten Sie Ihre Cloud Run-Umgebung einrichten.
Einrichtungsschritte
Führen Sie die folgenden Schritte aus, um die Binärautorisierung für Cloud Run einzurichten:
- Aktivieren Sie die Binärautorisierung.
- Empfohlen: Fordern Sie Binärautorisierung für Cloud Run mithilfe einer Organisationsrichtlinie an.
- Aktivieren Sie die Binärautorisierung für Cloud Run.
Konfigurieren Sie die Richtlinie zur Binärautorisierung.
Sie können in Ihrer Richtlinie die folgenden Features konfigurieren:
Optional: Verwenden Sie den Attestierer
built-by-cloud-build
, um nur von Cloud Build erstellte Images bereitzustellen (Vorschau).Optional: Attestierungen verwenden.
Sehen Sie sich Binärautorisierung für Cloud Run-Ereignisse in Cloud-Audit-Logs an.