En esta página, se describe cómo configurar una política de la organización que exija la aplicación de la autorización binaria de las imágenes de contenedor que se implementan en Cloud Run. Puedes exigir la aplicación forzosa en un proyecto, una carpeta o una organización.
Antes de comenzar
Debes tener permiso para modificar las políticas de la organización a fin de configurar esta restricción. Por ejemplo, el rol orgpolicy.policyAdmin
tiene permiso para configurar restricciones en la política de la organización. El rol resourcemanager.organizationAdmin
tiene permiso para agregar un usuario como administrador de políticas de la organización.
Lee la sección sobre cómo usar restricciones para obtener más información sobre la administración de las políticas a nivel de organización.
Establece la política de la organización
En esta sección, se muestra cómo configurar una política de la organización para exigir la aplicación de la autorización binaria en las imágenes implementadas en Cloud Run. Puedes configurar la política con la consola de Google Cloud o Google Cloud CLI.
Console
Para configurar la política de la organización con la consola de Google Cloud, haz lo siguiente:
En la consola de Google Cloud, ve a la página Políticas de la organización.
En el Selector de proyectos en la parte superior de la página, haz lo siguiente:
Selecciona la organización en la que deseas configurar la política.
Puedes configurar la política en el nivel de organización, carpeta o proyecto mediante el ID de la carpeta y el ID del proyecto, respectivamente. Para obtener más información, consulta Usa restricciones.
Para completar la selección, haz clic en Abrir.
En Filtro, ingresa lo siguiente:
Allowed Binary Authorization Policies (Cloud Run)
Para editar los detalles de la política, en Detalles de la política, haz clic en Editar.
En Se aplica a, haz clic en Personalizar.
Asegúrate de que el Tipo de política esté configurado como
Allow
.
Para configurar la política de autorización binaria predeterminada que exige la política de la organización, haz lo siguiente:
En Valores personalizados, en el campo de texto, escribe
default
.El valor de la política debe configurarse como
default
. Si estableces el valor endefault
, se configura la autorización binaria para usar la política en el mismo proyecto que los servicios de Cloud Run.Para guardar esta política de la organización, haz clic en Guardar.
gcloud
Para configurar la política de la organización con gcloud
, haz lo siguiente:
gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \ default \ --organization=ORGANIZATION_ID
Reemplaza ORGANIZATION_ID por el ID numérico de la organización.
También puedes aplicar la política de la organización a una carpeta o proyecto con las marcas --folder
o --project
, y con el ID de la carpeta y el ID del proyecto, respectivamente.
Ve la política de la organización
Puedes ver la política de la organización con la consola de Google Cloud o gcloud
.
Console
En la consola de Google Cloud, ve a la página Políticas de la organización.
En el Selector de proyectos, selecciona la organización cuya política deseas ver.
En Filtro, ingresa lo siguiente:
Allowed Binary Authorization Policies (Cloud Run)
Para completar la selección, haz clic en Abrir.
Puedes ver la configuración de la política
Allowed Binary Authorization Policies (Cloud Run)
.
gcloud
Si deseas ver la política de la organización que exige la autorización binaria para Cloud Run en una organización, ingresa el siguiente comando:
gcloud resource-manager org-policies describe \ run.allowedBinaryAuthorizationPolicies \ --effective \ --organization=ORGANIZATION_ID
Reemplaza ORGANIZATION_ID por el ID numérico de la organización.
Revierte la política
Puedes revertir la política para que Cloud Run ya no exija la aplicación de la autorización binaria mediante la consola de Google Cloud o gcloud
.
Console
Para revertir la política con la consola de Google Cloud, haz lo siguiente:
En la consola de Google Cloud, ve a la página Políticas de la organización.
En el Selector de proyectos, selecciona la organización cuya política deseas revertir.
En Filtro, ingresa lo siguiente:
Allowed Binary Authorization Policies (Cloud Run)
Para completar la selección, haz clic en Abrir.
Para editar los detalles de la política, en Detalles de la política, haz clic en Editar.
En Se aplica a, selecciona
Inherit parent's policy
.Para guardar la política de la organización, haz clic en Guardar.
gcloud
Para revertir la política con gcloud
, haz lo siguiente:
gcloud resource-manager org-policies delete \ run.allowedBinaryAuthorizationPolicies \ --organization=ORGANIZATION_ID
Reemplaza ORGANIZATION_ID por el ID numérico de la organización.
El comando muestra lo siguiente:
Deleted [<Empty>]
Como alternativa, puedes ver la política de la organización y tener en cuenta que la herencia está configurada como Inherit
, en lugar de custom
y que no hay un conjunto personalizado de valores.
¿Qué sigue?
- Habilita la autorización binaria en un servicio de Cloud Run
- Implementa un servicio compilado previamente de Cloud Run
- Configura una política de autorización binaria