Esta página descreve como configurar uma política da organização que requer a aplicação da autorização binária de imagens de contentores implementadas no Cloud Run. Pode exigir a aplicação para um projeto, uma pasta ou uma organização.
Antes de começar
Tem de ter autorização para modificar as políticas da organização para definir esta restrição. Por exemplo, a função
orgpolicy.policyAdmin
tem autorização para definir restrições de políticas da organização. A função
resourcemanager.organizationAdmin
tem autorização para adicionar um utilizador como administrador da política da organização.
Leia a página
Usar restrições
para saber mais sobre a gestão de políticas ao nível da organização.
Pode usar uma restrição personalizada
para exigir que a autorização binária esteja definida como default ao nível do projeto.
Defina a política da organização
Esta secção mostra como definir uma política de organização para exigir a aplicação da autorização binária em imagens implementadas no Cloud Run. Pode definir a política através da Google Cloud consola ou da CLI do Google Cloud.
Consola
Para definir a política da organização através da Google Cloud consola, faça o seguinte:
Na Google Cloud consola, aceda à página Políticas da organização.
No seletor de projetos na parte superior da página, faça o seguinte:
Selecione a organização para a qual quer definir a política.
Pode definir a política ao nível da organização, da pasta ou do projeto usando, respetivamente, o ID da pasta e o ID do projeto. Para saber mais, consulte o artigo Usar restrições.
Para concluir a seleção, clique em Abrir.
Em Filtro, introduza o seguinte:
Allowed Binary Authorization Policies (Cloud Run)Para editar os detalhes da política, em Detalhes da política, clique em Editar.
Em Aplica-se a, clique em Personalizar.
Certifique-se de que o Tipo de política está definido como
Allow.
Para definir a política de autorização binária predefinida que a política da organização requer, faça o seguinte:
Em Valores personalizados, no campo de texto, escreva
default.O valor da política tem de estar definido como
default. Se definir o valor comodefault, configura a autorização binária para usar a política no mesmo projeto que os seus serviços do Cloud Run.Para guardar esta política de organização, clique em Guardar.
gcloud
Para definir a política da organização através do gcloud, faça o seguinte:
gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \ default \ --organization=ORGANIZATION_ID
Substitua ORGANIZATION_ID pelo ID numérico da organização.
Também pode aplicar a política de organização a uma pasta ou a um projeto com as flags --folder ou --project e o ID da pasta e o ID do projeto, respetivamente.
Veja a política da organização
Pode ver a política de organização através da Google Cloud consola ou da gcloud.
Consola
Na Google Cloud consola, aceda à página Políticas da organização.
No seletor de projetos, selecione a organização para a qual quer ver a política.
Em Filtro, introduza o seguinte:
Allowed Binary Authorization Policies (Cloud Run)Para concluir a seleção, clique em Abrir.
Pode ver a
Allowed Binary Authorization Policies (Cloud Run)configuração da política.
gcloud
Para ver a política da organização que requer a autorização binária para o Cloud Run numa organização, introduza o seguinte comando:
gcloud resource-manager org-policies describe \ run.allowedBinaryAuthorizationPolicies \ --effective \ --organization=ORGANIZATION_ID
Substitua ORGANIZATION_ID pelo ID numérico da organização.
Reverta a política
Pode reverter a política para que o Cloud Run deixe de exigir a aplicação da autorização binária através da Google Cloud consola ou dagcloud.
Consola
Para reverter a política através da consola Google Cloud , faça o seguinte:
Na Google Cloud consola, aceda à página Políticas da organização.
No seletor de projetos, selecione a organização para a qual quer reverter a política.
Em Filtro, introduza o seguinte:
Allowed Binary Authorization Policies (Cloud Run)Para concluir a seleção, clique em Abrir.
Para editar os detalhes da política, em Detalhes da política, clique em Editar.
Em Aplica-se a, selecione
Inherit parent's policy.Para guardar a política de organização, clique em Guardar.
gcloud
Para reverter a política através de gcloud, faça o seguinte:
gcloud resource-manager org-policies delete \ run.allowedBinaryAuthorizationPolicies \ --organization=ORGANIZATION_ID
Substitua ORGANIZATION_ID pelo ID numérico da organização.
O comando devolve o seguinte:
Deleted [<Empty>]
Em alternativa, pode ver a política da organização e reparar que a herança está definida como Inherit, em vez de custom, e não existe nenhum valor personalizado definido.
O que se segue?
- Ative a Autorização binária num serviço do Cloud Run
- Implemente um serviço do Cloud Run pré-criado
- Configure uma política de autorização binária