Démarrage rapide : tout autoriser et tout interdire (Cloud Run)

Ce guide de démarrage rapide explique comment configurer et tester une règle de base dans une stratégie d'autorisation binaire avec Cloud Run.

Dans ce guide de démarrage rapide, vous allez utiliser l'autorisation binaire pour contrôler le déploiement d'un service Cloud Run.

Avant de commencer

  1. Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
  2. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  3. Assurez-vous que la facturation est activée pour votre projet Cloud. Découvrez comment vérifier que la facturation est activée pour votre projet.

  4. Activer les API Cloud Run, Artifact Registry, Binary Authorization.

    Activer les API

  5. Installez et initialisez le SDK Cloud.

Créer un service avec l'autorisation binaire activée

Pour créer un service Cloud Run avec l'autorisation binaire activée, procédez comme suit :

  1. Accédez à Cloud Run

  2. Cliquez sur Create service (Créer un service) pour afficher le formulaire correspondant.

    image

    Dans le formulaire qui s'affiche, procédez comme suit :

    1. Sélectionnez Cloud Run comme plate-forme de développement.
    2. Sélectionnez la région dans laquelle vous souhaitez créer votre service.
    3. Indiquez le nom que vous souhaitez attribuer à votre service (par exemple, test-service).
    4. Cliquez sur Suivant pour passer à la page Configurer la première révision du service.

      Dans le formulaire, procédez comme suit :

      1. Sélectionnez Déployer une révision à partir d'une image de conteneur existante.
      2. Utilisez us-docker.pkg.dev/cloudrun/container/hello comme image de conteneur.

      3. Développez la section Paramètres avancés.

      4. Cliquez sur l'onglet Security (Sécurité).

      5. Cochez la case Vérifier le déploiement du conteneur avec l'autorisation binaire.

        image

        Par défaut, la stratégie d'autorisation binaire permet le déploiement de toutes les images.

      6. Cliquez sur Suivant pour passer à la page Configurer le déclenchement du service :

        image

      7. Sélectionnez Allow unauthenticated invocations (Autoriser les appels non authentifiés) pour pouvoir ouvrir le résultat dans votre navigateur Web.

      8. Cliquez sur Create (Créer) pour déployer l'image sur Cloud Run, puis patientez jusqu'à la fin du déploiement.

      Votre service est déployé. Les révisions sont soumises à l'application de la stratégie d'autorisation binaire.

Mettre à jour la stratégie d'autorisation binaire pour interdire toutes les images

La stratégie d'autorisation binaire contient une règle par défaut. Cette règle régit le déploiement du service Cloud Run que vous venez de créer.

Par défaut, la règle autorise le déploiement de toutes les images de conteneurs.

Pour afficher la stratégie par défaut, procédez comme suit :

  1. Accéder à l'autorisation binaire

    Capture d'écran de l'onglet Policy (Règles) affichant la règle par défaut

  2. Cliquez sur Modifier la règle.

  3. Dans Project Default Rule (Règle par défaut du projet), notez que l'option Allow All Images (Autoriser toutes les images) est sélectionnée.

    Capture d'écran de l'option permettant de choisir un type de règle par défaut

Ensuite, modifiez la stratégie pour empêcher le déploiement de toutes les images en procédant comme suit :

  1. Accédez à la page Autorisation binaire dans Cloud Console.

    Accéder à l'autorisation binaire

  2. Cliquez sur Modifier la règle.

  3. Dans Default rule (Règle par défaut), sélectionnez Interdire toutes les images.

    Capture d'écran de l'option permettant de choisir un type de règle par défaut

  4. Cliquez sur Save Policy (Enregistrer la stratégie).

Redéployer le service

Testez la stratégie mise à jour en déployant une nouvelle révision.

Pour déployer l'image, procédez comme suit :

  1. Accédez à Cloud Run

  2. Cliquez sur le nom du service que vous avez déployé précédemment dans ce guide.

  3. Cliquez sur Modifier et Déployer la nouvelle révision.

  4. Cliquez sur Déployer.

Un message d'erreur semblable au suivant apparaît :

Service update rejected by Binary Authorization policy: Revision
REVISION uses unauthorized container image. Container image 'us-docker.pkg.dev/cloudrun/container/hello@SHA' is not authorized by policy. Denied by an ALWAYS_DENY admission rule

Réinitialiser la stratégie pour autoriser toutes les images

Pour réinitialiser la stratégie afin d'autoriser toutes les images, procédez comme suit :

  1. Accédez à la page Autorisation binaire dans Cloud Console.

    Accéder à la page "Autorisation binaire"

  2. Cliquez sur Modifier la règle.

  3. Sélectionnez Allow All Images (Autoriser toutes les images).

  4. Pour enregistrer la règle, cliquez sur Enregistrer la règle.

Vous pouvez maintenant déployer des images.

Effectuer un nettoyage

Pour éviter que les ressources utilisées dans cette page soient facturées sur votre compte Google Cloud :

Pour supprimer le service que vous avez créé dans Cloud Run, procédez comme suit :

  1. Accédez à Cloud Run

  2. Recherchez le service que vous souhaitez supprimer dans la liste des services, puis cliquez la case correspondante pour le sélectionner.

  3. Cliquez sur Supprimer pour supprimer toutes les révisions du service.

Pour désactiver l'autorisation binaire, consultez la section Désactiver l'autorisation binaire.

Étape suivante