Richiedi Autorizzazione binaria per Cloud Run

Questa pagina descrive come configurare un criterio dell'organizzazione che richieda l'applicazione dell'autorizzazione binaria per le immagini container di cui viene eseguito il deployment in Cloud Run. Puoi richiedere l'applicazione per un progetto, una cartella o un'organizzazione.

Prima di iniziare

Devi disporre dell'autorizzazione per la modifica criteri dell'organizzazione. di blocco. Ad esempio, orgpolicy.policyAdmin dispone dell'autorizzazione per impostare vincoli dei criteri dell'organizzazione. La resourcemanager.organizationAdmin dispone dell'autorizzazione per aggiungere un utente come amministratore dei criteri dell'organizzazione. Leggi la pagina Utilizzare i vincoli per scoprire di più sulla gestione dei criteri a livello di organizzazione. Puoi utilizzare un vincolo personalizzato per richiedere che Autorizzazione binaria sia impostata su default nel progetto livello.

Impostare il criterio dell'organizzazione

Questa sezione mostra come impostare un criterio dell'organizzazione per richiedere l'applicazione dell'autorizzazione binaria alle immagini di cui è stato eseguito il deployment in Cloud Run. Puoi impostare il criterio utilizzando la console Google Cloud o l'interfaccia a riga di comando Google Cloud.

Console

Per impostare il criterio dell'organizzazione utilizzando la console Google Cloud, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Con il selettore di progetto nella parte superiore della pagina, procedi nel seguente modo:

    1. Seleziona l'organizzazione per la quale vuoi impostare il criterio.

      Puoi impostare il criterio a livello di organizzazione, cartella o progetto utilizzando ID cartella e ID progetto, rispettivamente. Per scoprire di più, consulta la sezione Utilizzare le limitazioni.

    2. Per completare la selezione, fai clic su Apri.

  3. In Filtro, inserisci quanto segue:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Per modificare i dettagli delle norme, in Dettagli norme fai clic su Modifica.

  5. In Si applica a, fai clic su Personalizza.

  6. Assicurati che Tipo di criterio sia impostato su Allow.

Per impostare il criterio di Autorizzazione binaria predefinito richiesto dal criterio dell'organizzazione:

  1. In Valori personalizzati, digita default nel campo di testo.

    Il valore del criterio deve essere impostato su default. Se imposti il valore su default, configuri l'autorizzazione binaria in modo da utilizzare il criterio nello stessa progetto dei tuoi servizi Cloud Run.

  2. Per salvare questo criterio dell'organizzazione, fai clic su Salva.

gcloud

Per impostare il criterio dell'organizzazione utilizzando gcloud, segui questi passaggi:

gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \
  default \
  --organization=ORGANIZATION_ID

Sostituisci ORGANIZATION_ID con l'ID numerico dell'organizzazione.

Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con --folder o --project e i flag ID cartella e ID progetto, rispettivamente.

Visualizza il criterio dell'organizzazione

Puoi visualizzare il criterio dell'organizzazione utilizzando la console Google Cloud oppure gcloud.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Nel selettore di progetti, scegli l'organizzazione per la quale per visualizzare il criterio.

  3. In Filtro, inserisci quanto segue:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Per completare la selezione, fai clic su Apri.

  5. Puoi visualizzare Allowed Binary Authorization Policies (Cloud Run) la configurazione dei criteri.

gcloud

Per visualizzare il criterio dell'organizzazione che richiede Autorizzazione binaria per Cloud Run su un'organizzazione, inserisci il comando seguente:

gcloud resource-manager org-policies describe \
  run.allowedBinaryAuthorizationPolicies \
  --effective \
  --organization=ORGANIZATION_ID

Sostituisci ORGANIZATION_ID con l'ID numerico del dell'organizzazione.

Ripristina il criterio

Puoi ripristinare il criterio in modo che Cloud Run non richieda più l'applicazione dell'autorizzazione binaria utilizzando la console Google Cloud o gcloud.

Console

Per ripristinare il criterio utilizzando la console Google Cloud, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Nel selettore di progetti, scegli l'organizzazione per la quale per ripristinare il criterio.

  3. In Filtro, inserisci quanto segue:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Per completare la selezione, fai clic su Apri.

  5. Per modificare i dettagli delle norme, fai clic su Modifica in Dettagli norme.

  6. In Si applica a, seleziona Inherit parent's policy.

  7. Per salvare il criterio dell'organizzazione, fai clic su Salva.

gcloud

Per ripristinare il criterio utilizzando gcloud:

gcloud resource-manager org-policies delete \
  run.allowedBinaryAuthorizationPolicies \
  --organization=ORGANIZATION_ID

Sostituisci ORGANIZATION_ID con l'ID numerico dell'organizzazione.

Il comando restituisce quanto segue:

Deleted [<Empty>]

In alternativa, puoi visualizzare il criterio dell'organizzazione e notare che Eredità è impostato su Inherit anziché su custom e non è impostato alcun valore personalizzato.

Passaggi successivi