Richiedere l'autorizzazione binaria per Cloud Run

Questa pagina descrive come configurare un criterio dell'organizzazione che richiede l'applicazione dell'autorizzazione binaria alle immagini container di cui viene eseguito il deployment su Cloud Run. Puoi richiedere l'applicazione per un progetto, una cartella o un'organizzazione.

Prima di iniziare

Per impostare questo vincolo, devi disporre dell'autorizzazione per modificare i criteri dell'organizzazione. Ad esempio, il ruolo orgpolicy.policyAdmin dispone dell'autorizzazione per impostare i vincoli dei criteri dell'organizzazione. Il ruolo resourcemanager.organizationAdmin dispone dell'autorizzazione per aggiungere un utente come amministratore delle norme dell'organizzazione. Consulta la pagina Utilizzo dei vincoli per scoprire di più sulla gestione dei criteri a livello di organizzazione. Puoi utilizzare un vincolo personalizzato per richiedere che l'autorizzazione binaria sia impostata su default a livello di progetto.

Impostare il criterio dell'organizzazione

Questa sezione mostra come impostare un criterio dell'organizzazione per richiedere l'applicazione dell'autorizzazione binaria alle immagini di cui è stato eseguito il deployment in Cloud Run. Puoi impostare il criterio utilizzando la console Google Cloud o Google Cloud CLI.

Console

Per impostare la policy dell'organizzazione utilizzando la console Google Cloud , procedi come segue:

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Nel selettore di progetti nella parte superiore della pagina:

    1. Seleziona l'organizzazione per cui vuoi impostare il criterio.

      Puoi impostare il criterio a livello di organizzazione, cartella o progetto utilizzando l'ID cartella e l'ID progetto, rispettivamente. Per scoprire di più, consulta la sezione Utilizzo dei vincoli.

    2. Per completare la selezione, fai clic su Apri.

  3. In Filtro, inserisci quanto segue:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Per modificare i dettagli delle norme, in Dettagli norme, fai clic su Modifica.

  5. Nella sezione Applicabile a, fai clic su Personalizza.

  6. Assicurati che Tipo di criterio sia impostato su Allow.

Per impostare il criterio di autorizzazione binaria predefinito richiesto dal criterio dell'organizzazione, segui questi passaggi:

  1. In Valori personalizzati, digita default nel campo di testo.

    Il valore del criterio deve essere impostato su default. Se imposti il valore su default, configuri l'autorizzazione binaria in modo che utilizzi il criterio nello stesso progetto dei tuoi servizi Cloud Run.

  2. Per salvare questa policy dell'organizzazione, fai clic su Salva.

gcloud

Per impostare il criterio dell'organizzazione utilizzando gcloud:

gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \
  default \
  --organization=ORGANIZATION_ID

Sostituisci ORGANIZATION_ID con l'ID numerico dell'organizzazione.

Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con i flag --folder o --project e con l'ID cartella e l'ID progetto, rispettivamente.

Visualizzare la policy dell'organizzazione

Puoi visualizzare il criterio dell'organizzazione utilizzando la console Google Cloud o gcloud.

Console

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Nel selettore di progetti, seleziona l'organizzazione per cui vuoi visualizzare la policy.

  3. In Filtro, inserisci quanto segue:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Per completare la selezione, fai clic su Apri.

  5. Puoi visualizzare la configurazione dei criteri Allowed Binary Authorization Policies (Cloud Run).

gcloud

Per visualizzare la policy dell'organizzazione che richiede l'autorizzazione binaria per Cloud Run in un'organizzazione, inserisci questo comando:

gcloud resource-manager org-policies describe \
  run.allowedBinaryAuthorizationPolicies \
  --effective \
  --organization=ORGANIZATION_ID

Sostituisci ORGANIZATION_ID con l'ID numerico dell'organizzazione.

Ripristinare il criterio

Puoi ripristinare il criterio in modo che Cloud Run non richieda più l'applicazione dell'autorizzazione binaria utilizzando la console Google Cloud o gcloud.

Console

Per ripristinare il criterio utilizzando la console Google Cloud :

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Nel selettore di progetti, seleziona l'organizzazione per cui vuoi ripristinare il criterio.

  3. In Filtro, inserisci quanto segue:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Per completare la selezione, fai clic su Apri.

  5. Per modificare i dettagli delle norme, in Dettagli norme, fai clic su Modifica.

  6. In Applicabile a, seleziona Inherit parent's policy.

  7. Per salvare la policy dell'organizzazione, fai clic su Salva.

gcloud

Per ripristinare il criterio utilizzando gcloud:

gcloud resource-manager org-policies delete \
  run.allowedBinaryAuthorizationPolicies \
  --organization=ORGANIZATION_ID

Sostituisci ORGANIZATION_ID con l'ID numerico dell'organizzazione.

Il comando restituisce quanto segue:

Deleted [<Empty>]

In alternativa, puoi visualizzare il criterio dell'organizzazione e notare che l'ereditarietà è impostata su Inherit anziché su custom e non è impostato alcun valore personalizzato.

Passaggi successivi