Diese Seite bietet einen Überblick über die Einrichtung der Binärautorisierung für die Verwendung mit Cloud Run-Diensten und -Jobs.
Anwendung von Richtlinien für die Binärautorisierung auf Cloud Run
Sie können eine Richtlinie für die Binärautorisierung für Cloud Run-Dienste und -Jobs festlegen. Die Durchsetzung der Richtlinien unterscheidet sich jedoch geringfügig zwischen Cloud Run-Diensten und -Jobs.
Auf Cloud Run-Dienste angewendete Richtlinien
Wenn Sie eine Richtlinie für die Binärautorisierung für einen Dienst festlegen, prüft Cloud Run die Richtlinie jedes Mal, wenn Sie eine neue Version bereitstellen. Wenn die neue Version nicht der Richtlinie entspricht, schlägt die Bereitstellung fehl. In diesem Fall können Sie jedoch die Break-Glass-Funktion verwenden, um die Richtlinie der Binärautorisierung zu umgehen und eine Überarbeitung mit einem nicht konformen Container bereitzustellen.
Änderungen an der Richtlinie für die Binärautorisierung gelten nicht rückwirkend für vorhandene Überarbeitungen.
Auf Cloud Run-Jobs angewendete Richtlinien
Wenn Sie eine Richtlinie für die Binärautorisierung für einen Job festlegen, prüft Cloud Run die Richtlinie bei jeder Ausführung des Jobs. Wenn ein Job einen nicht konformen Container hat:
- Sie können den Job trotzdem aktualisieren.
- Die Ausführung des Jobs schlägt fehl. In diesen Fällen können Sie mit dem Break-Glass-Feature die Richtlinie für die Binärautorisierung umgehen.
Änderungen an der Richtlinie für die Binärautorisierung gelten nicht rückwirkend für bereits ausgeführte Ausführungen.
Hinweise
Bevor Sie die Binärautorisierung für Cloud Run verwenden, sollten Sie Ihre Cloud Run-Umgebung einrichten.
Einrichtungsschritte
Führen Sie die folgenden Schritte aus, um die Binärautorisierung für Cloud Run einzurichten:
- Aktivieren Sie die Binärautorisierung.
- Empfohlen: Fordern Sie Binärautorisierung für Cloud Run mithilfe einer Organisationsrichtlinie an.
- Aktivieren Sie die Binärautorisierung für Cloud Run.
Konfigurieren Sie die Richtlinie zur Binärautorisierung.
Sie können in Ihrer Richtlinie die folgenden Features konfigurieren:
Zum Bereitstellen von Funktionen in Cloud Run muss der Administrator der Richtlinie für die Binärautorisierung diese so konfigurieren, dass alle Images aus dem Repository
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**
und seinen Unterverzeichnissen ausgenommen werden.Optional: Verwenden Sie den Attestierer
built-by-cloud-build
, um nur von Cloud Build erstellte Images bereitzustellen (Vorschau).Optional: Attestierungen verwenden.
Sehen Sie sich Binärautorisierung für Cloud Run-Ereignisse in Cloud-Audit-Logs an.