Cette page explique comment configurer une règle d'administration qui nécessite l'application de l'autorisation binaire pour les images de conteneurs déployées sur Cloud Run. Vous pouvez exiger l'application pour un projet, un dossier ou une organisation.
Avant de commencer
Pour définir cette contrainte, vous devez être autorisé à modifier les règles d'administration. Par exemple, le rôle orgpolicy.policyAdmin
est autorisé à définir des contraintes de règle d'administration. Le rôle resourcemanager.organizationAdmin
est autorisé à ajouter un utilisateur en tant qu'administrateur des règles d'administration.
Consultez la page Utiliser des contraintes pour en savoir plus sur la gestion des règles au niveau de l'organisation.
Vous pouvez utiliser une contrainte personnalisée pour exiger que l'autorisation binaire soit définie sur default
au niveau du projet.
Définir la règle d'administration
Cette section vous explique comment définir une règle d'administration pour exiger l'application de l'autorisation binaire sur les images déployées dans Cloud Run. Vous pouvez définir la règle en utilisant la console Google Cloud ou Google Cloud CLI.
Console
Pour définir la règle d'administration en utilisant la console Google Cloud, procédez comme suit :
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le sélecteur de projet en haut de la page, procédez comme suit :
Sélectionnez l'organisation pour laquelle vous souhaitez définir la règle.
Vous pouvez définir la règle au niveau d'une organisation, d'un dossier ou d'un projet à l'aide de l'ID de dossier et de l'ID de projet respectivement. Pour en savoir plus, consultez l'article Utiliser des contraintes.
Pour terminer la sélection, cliquez sur Ouvrir.
Dans le champ Filtre, saisissez les informations suivantes :
Allowed Binary Authorization Policies (Cloud Run)
Pour modifier les détails de la règle, cliquez sur Modifier dans Détails des règles.
Dans Applicable à, cliquez sur Personnaliser.
Assurez-vous que le Type de règle est défini sur
Allow
.
Pour définir la règle d'autorisation binaire par défaut requise par la règle d'administration, procédez comme suit :
Dans le champ de texte de la section Valeurs personnalisées, saisissez
default
.La valeur de la règle doit être définie sur
default
. Définir la valeur surdefault
permet de configurer l'autorisation binaire pour qu'elle utilise la règle dans le même projet que vos services Cloud Run.Pour enregistrer cette règle d'administration, cliquez sur Enregistrer.
gcloud
Pour définir la règle d'administration à l'aide de gcloud
, procédez comme suit :
gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \ default \ --organization=ORGANIZATION_ID
Remplacez ORGANIZATION_ID par l'ID numérique de l'organisation.
Vous pouvez également appliquer la règle d'administration à un dossier ou à un projet avec les options --folder
ou --project
, ainsi que l'ID de dossier et l'ID de projet, respectivement.
Afficher la règle d'administration
Vous pouvez afficher la règle d'administration en utilisant la console Google Cloud ou gcloud
.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le sélecteur de projet, sélectionnez l'organisation pour laquelle vous souhaitez afficher la règle.
Dans le champ Filtre, saisissez les informations suivantes :
Allowed Binary Authorization Policies (Cloud Run)
Pour terminer la sélection, cliquez sur Ouvrir.
Vous pouvez afficher la configuration de la règle
Allowed Binary Authorization Policies (Cloud Run)
.
gcloud
Pour afficher la règle d'administration nécessitant l'autorisation binaire pour Cloud Run sur une organisation, saisissez la commande suivante :
gcloud resource-manager org-policies describe \ run.allowedBinaryAuthorizationPolicies \ --effective \ --organization=ORGANIZATION_ID
Remplacez ORGANIZATION_ID par l'ID numérique de l'organisation.
Rétablir la règle
Vous pouvez rétablir la règle de sorte que Cloud Run ne nécessite plus l'autorisation binaire, en utilisant la console Google Cloud ou gcloud
.
Console
Pour rétablir la règle à l'aide de la console Google Cloud, procédez comme suit :
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le sélecteur de projet, sélectionnez l'organisation pour laquelle vous souhaitez rétablir la règle.
Dans le champ Filtre, saisissez les informations suivantes :
Allowed Binary Authorization Policies (Cloud Run)
Pour terminer la sélection, cliquez sur Ouvrir.
Pour modifier les détails de la règle, cliquez sur Modifier dans Détails des règles.
Dans Applicable à, sélectionnez
Inherit parent's policy
.Pour enregistrer la règle d'administration, cliquez sur Enregistrer.
gcloud
Pour rétablir la règle à l'aide de gcloud
, procédez comme suit :
gcloud resource-manager org-policies delete \ run.allowedBinaryAuthorizationPolicies \ --organization=ORGANIZATION_ID
Remplacez ORGANIZATION_ID par l'ID numérique de l'organisation.
La commande renvoie l'erreur suivante :
Deleted [<Empty>]
Vous pouvez également afficher la règle d'administration et notez que l'héritage est défini sur Inherit
, au lieu de custom
, et qu'aucune valeur personnalisée n'est définie.
Étape suivante
- Activer l'autorisation binaire sur un service Cloud Run
- Déployer un service Cloud Run prédéfini
- Configurez une règle d'autorisation binaire.