Visão geral da configuração do Cloud Run

Nesta página, apresentamos uma visão geral de como configurar a autorização binária para uso com os serviços e jobs do Cloud Run.

Como as políticas de autorização binária são aplicadas ao Cloud Run

É possível definir uma política de autorização binária nos serviços e jobs do Cloud Run. No entanto, a aplicação da política varia um pouco entre os serviços e os jobs do Cloud Run.

Políticas aplicadas aos serviços do Cloud Run

Quando você define uma política de autorização binária em um serviço, o Cloud Run verifica a política sempre que você implantar uma nova revisão. Se a nova revisão não estiver em conformidade com a política, a implantação falhará. No entanto, se isso acontecer, você pode usar o recurso de acesso de emergência para ignorar a política de autorização binária e implantar uma revisão usando um contêiner que não está em conformidade.

As alterações na política de autorização binária não são aplicadas retroativamente a revisões existentes.

Políticas aplicadas a jobs do Cloud Run

Quando você define uma política de autorização binária em um job, o Cloud Run verifica a política sempre que você executar o job. Se um job tiver um contêiner que não seja compatível:

Ainda é possível atualizar o job.
A execução do job falhará. Nessas situações, use o recurso de acesso de emergência para ignorar a política de autorização binária.

As alterações na política de autorização binária não são aplicadas retroativamente às execuções em execução.

Antes de começar

Antes de usar a autorização binária para o Cloud Run, recomendamos que você configure seu ambiente do Cloud Run.

Etapas de configuração

Para configurar a autorização binária para o Cloud Run, execute estas etapas:

Ative a autorização binária.
Recomendado: exigir autorização binária para o Cloud Run usando uma política da organização.
Ative a autorização binária para o Cloud Run.
Configure a política de autorização binária.

Observação: ignore esta etapa se você quiser usar atestados.

Você pode configurar os seguintes recursos na sua política:
- Regra padrão.
- Imagens isentas. Saiba mais sobre imagens isentas.
Opcional: use o atestador built-by-cloud-build para implantar somente imagens criadas pelo Cloud Build (visualização).
Opcional: use atestados.
Ver a autorização binária para eventos do Cloud Run nos registros de auditoria do Cloud.