Exiger l'autorisation binaire pour Cloud Run

Cette page explique comment configurer une règle d'administration qui nécessite l'application de l'autorisation binaire pour les images de conteneurs déployées sur Cloud Run. Vous pouvez exiger l'application pour un projet, un dossier ou une organisation.

Avant de commencer

Pour définir cette contrainte, vous devez être autorisé à modifier les règles d'administration. Par exemple, le rôle orgpolicy.policyAdmin est autorisé à définir des contraintes de règle d'administration. Le rôle resourcemanager.organizationAdmin est autorisé à ajouter un utilisateur en tant qu'administrateur des règles d'administration. Consultez la page Utiliser des contraintes pour en savoir plus sur la gestion des règles au niveau de l'organisation. Vous pouvez utiliser une contrainte personnalisée pour exiger que l'autorisation binaire soit définie sur default au niveau du projet.

Définir la règle d'administration

Cette section vous explique comment définir une règle d'administration pour exiger l'application de l'autorisation binaire sur les images déployées dans Cloud Run. Vous pouvez définir la règle en utilisant la console Google Cloud ou Google Cloud CLI.

Console

Pour définir la règle d'administration en utilisant la console Google Cloud, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Dans le sélecteur de projet en haut de la page, procédez comme suit :

    1. Sélectionnez l'organisation pour laquelle vous souhaitez définir la règle.

      Vous pouvez définir la règle au niveau d'une organisation, d'un dossier ou d'un projet à l'aide de l'ID de dossier et de l'ID de projet respectivement. Pour en savoir plus, consultez l'article Utiliser des contraintes.

    2. Pour terminer la sélection, cliquez sur Ouvrir.

  3. Dans le champ Filtre, saisissez les informations suivantes :

    Allowed Binary Authorization Policies (Cloud Run)
    
  4. Pour modifier les détails de la règle, cliquez sur Modifier dans Détails des règles.

  5. Dans Applicable à, cliquez sur Personnaliser.

  6. Assurez-vous que le Type de règle est défini sur Allow.

Pour définir la règle d'autorisation binaire par défaut requise par la règle d'administration, procédez comme suit :

  1. Dans le champ de texte de la section Valeurs personnalisées, saisissez default.

    La valeur de la règle doit être définie sur default. Définir la valeur sur default permet de configurer l'autorisation binaire pour qu'elle utilise la règle dans le même projet que vos services Cloud Run.

  2. Pour enregistrer cette règle d'administration, cliquez sur Enregistrer.

gcloud

Pour définir la règle d'administration à l'aide de gcloud, procédez comme suit :

gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \
  default \
  --organization=ORGANIZATION_ID

Remplacez ORGANIZATION_ID par l'ID numérique de l'organisation.

Vous pouvez également appliquer la règle d'administration à un dossier ou à un projet avec les options --folder ou --project, ainsi que l'ID de dossier et l'ID de projet, respectivement.

Afficher la règle d'administration

Vous pouvez afficher la règle d'administration en utilisant la console Google Cloud ou gcloud.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Dans le sélecteur de projet, sélectionnez l'organisation pour laquelle vous souhaitez afficher la règle.

  3. Dans le champ Filtre, saisissez les informations suivantes :

    Allowed Binary Authorization Policies (Cloud Run)
    
  4. Pour terminer la sélection, cliquez sur Ouvrir.

  5. Vous pouvez afficher la configuration de la règle Allowed Binary Authorization Policies (Cloud Run).

gcloud

Pour afficher la règle d'administration nécessitant l'autorisation binaire pour Cloud Run sur une organisation, saisissez la commande suivante :

gcloud resource-manager org-policies describe \
  run.allowedBinaryAuthorizationPolicies \
  --effective \
  --organization=ORGANIZATION_ID

Remplacez ORGANIZATION_ID par l'ID numérique de l'organisation.

Rétablir la règle

Vous pouvez rétablir la règle de sorte que Cloud Run ne nécessite plus l'autorisation binaire, en utilisant la console Google Cloud ou gcloud.

Console

Pour rétablir la règle à l'aide de la console Google Cloud, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Dans le sélecteur de projet, sélectionnez l'organisation pour laquelle vous souhaitez rétablir la règle.

  3. Dans le champ Filtre, saisissez les informations suivantes :

    Allowed Binary Authorization Policies (Cloud Run)
    
  4. Pour terminer la sélection, cliquez sur Ouvrir.

  5. Pour modifier les détails de la règle, cliquez sur Modifier dans Détails des règles.

  6. Dans Applicable à, sélectionnez Inherit parent's policy.

  7. Pour enregistrer la règle d'administration, cliquez sur Enregistrer.

gcloud

Pour rétablir la règle à l'aide de gcloud, procédez comme suit :

gcloud resource-manager org-policies delete \
  run.allowedBinaryAuthorizationPolicies \
  --organization=ORGANIZATION_ID

Remplacez ORGANIZATION_ID par l'ID numérique de l'organisation.

La commande renvoie l'erreur suivante :

Deleted [<Empty>]

Vous pouvez également afficher la règle d'administration et notez que l'héritage est défini sur Inherit, au lieu de custom, et qu'aucune valeur personnalisée n'est définie.

Étape suivante