Présentation de la configuration pour Cloud Run

Cette page présente la configuration de l'autorisation binaire à utiliser avec les services et les jobs Cloud Run.

Comment les règles d'autorisation binaire sont-elles appliquées à Cloud Run

Vous pouvez définir une règle d'autorisation binaire sur les services et les jobs Cloud Run. Toutefois, l'application des règles varie légèrement entre les services et les jobs Cloud Run.

Règles appliquées aux services Cloud Run

Lorsque vous définissez une règle d'autorisation binaire sur un service, Cloud Run vérifie la règle chaque fois que vous déployez une nouvelle révision. Si la nouvelle révision n'est pas conforme à la règle, le déploiement échoue. Toutefois, dans ce cas, vous pouvez utiliser la fonctionnalité de bris de glace pour contourner la stratégie d'autorisation binaire et déployer une révision à l'aide d'un conteneur non conforme.

Les modifications apportées à la règle d'autorisation binaire ne s'appliquent pas rétroactivement aux révisions existantes.

Règles appliquées aux jobs Cloud Run

Lorsque vous définissez une règle d'autorisation binaire sur un job, Cloud Run vérifie cette règle chaque fois que vous exécutez le job. Si un job comporte un conteneur non conforme :

  • Vous pouvez tout de même mettre à jour le job.
  • L'exécution du job échouera. Vous pouvez utiliser la fonctionnalité de bris de glace pour contourner la règle d'autorisation binaire dans ces situations.

Les modifications apportées à la règle d'autorisation binaire ne s'appliquent pas rétroactivement aux exécutions déjà en cours.

Avant de commencer

Avant d'utiliser l'autorisation binaire pour Cloud Run, nous vous recommandons de configurer votre environnement Cloud Run.

Procédure de configuration

Pour configurer l'autorisation binaire pour Cloud Run, procédez comme suit :

  1. Activer l'autorisation binaire.
  2. Option recommandée : Nécessite une autorisation binaire pour Cloud Run à l'aide d'une règle d'administration.
  3. Activez l'autorisation binaire pour Cloud Run.

  4. Configurez la stratégie d'autorisation binaire.

    Vous pouvez configurer les fonctionnalités suivantes dans votre règle :

  5. Facultatif : Utilisez le certificateur built-by-cloud-build pour déployer uniquement les images créées par Cloud Build (bêta).

  6. Facultatif : Utiliser des attestations.

  7. Affichez l'autorisation binaire pour les événements Cloud Run dans Cloud Audit Logs.