Binärautorisierung für Cloud Run erforderlich

Auf dieser Seite wird beschrieben, wie Sie eine Organisationsrichtlinie konfigurieren, die eine Binärautorisierung für die in Cloud Run bereitgestellten Container-Images erfordert. Sie können die Erzwingung für ein Projekt, einen Ordner oder eine Organisation anfordern.

Hinweis

Sie müssen die Berechtigung haben, die Organisationsrichtlinien zu ändern, um diese Einschränkung festzulegen. Die Rolle orgpolicy.policyAdmin hat beispielsweise die Berechtigung zum Festlegen von Einschränkungen für Organisationsrichtlinien. Die Rolle resourcemanager.organizationAdmin ist berechtigt, einen Nutzer als Organisationsrichtlinienadministrator hinzuzufügen. Lesen Sie unter Einschränkungen verwenden, wie Richtlinien auf Organisationsebene verwaltet werden.

Organisationsrichtlinie festlegen

In diesem Abschnitt erfahren Sie, wie Sie eine Organisationsrichtlinie festlegen, mit der die Binärautorisierung für Images, die in Cloud Run bereitgestellt werden, erzwungen werden muss. Sie können die Richtlinie über die Google Cloud Console oder die Google Cloud CLI festlegen.

Console

So legen Sie die Organisationsrichtlinie mit der Google Cloud Console fest:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Führen Sie in der Projektauswahl oben auf der Seite folgende Schritte aus:

    1. Wählen Sie die Organisation aus, für die Sie die Richtlinie festlegen möchten.

      Sie können die Richtlinie auf Organisations-, Ordner- oder Projektebene mit der Ordner-ID und der Projekt-ID festlegen, bzw. Weitere Informationen finden Sie unter Einschränkungen verwenden.

    2. Klicken Sie auf Öffnen, um die Auswahl abzuschließen.

  3. Geben Sie unter Filter Folgendes ein:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Klicken Sie unter Richtliniendetails auf Bearbeiten, um die Richtliniendetails zu bearbeiten.

  5. Klicken Sie unter Gilt für auf Anpassen.

  6. Achten Sie darauf, dass der Richtlinientyp auf Allow festgelegt ist.

So legen Sie die Organisationsrichtlinie fest, die die Organisationsrichtlinie benötigt:

  1. Geben Sie unter Benutzerdefinierte Werte im Textfeld default ein.

    Der Richtlinienwert muss auf default festgelegt werden. Wenn Sie den Wert auf default festlegen, wird die Binärautorisierung für die Verwendung der Richtlinie im selben Projekt wie Ihre Cloud Run-Dienste konfiguriert.

  2. Klicken Sie auf Speichern, um diese Organisationsrichtlinie zu speichern.

gcloud

So legen Sie die Organisationsrichtlinie mit gcloud fest:

gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \
  default \
  --organization=ORGANIZATION_ID

Ersetzen Sie ORGANIZATION_ID durch die numerische ID der Organisation.

Sie können die Organisationsrichtlinie mit dem Flag --folder oder --project und der entsprechenden Ordner-ID bzw. Projekt-ID auch auf einen Ordner oder ein Projekt anwenden.

Organisationsrichtlinie ansehen

Sie können die Organisationsrichtlinie mit der Google Cloud Console oder mit gcloud aufrufen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Organisation aus, für die Sie die Richtlinie aufrufen möchten.

  3. Geben Sie unter Filter Folgendes ein:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Klicken Sie auf Öffnen, um die Auswahl abzuschließen.

  5. Sie können die Richtlinienkonfiguration von Allowed Binary Authorization Policies (Cloud Run) aufrufen.

gcloud

Geben Sie den folgenden Befehl ein, um die Organisationsrichtlinie aufzurufen, für die eine Binärautorisierung für Cloud Run in einer Organisation erforderlich ist:

gcloud resource-manager org-policies describe \
  run.allowedBinaryAuthorizationPolicies \
  --effective \
  --organization=ORGANIZATION_ID

Ersetzen Sie ORGANIZATION_ID durch die numerische ID der Organisation.

Richtlinie zurücksetzen

Sie können die Richtlinie zurücksetzen, sodass Cloud Run nicht mehr die Binärautorisierung mithilfe der Google Cloud Console oder gcloud erfordert.

Console

So machen Sie die Richtlinie mithilfe der Google Cloud Console rückgängig:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Organisation aus, für die Sie die Richtlinie zurücksetzen möchten.

  3. Geben Sie unter Filter Folgendes ein:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Klicken Sie auf Öffnen, um die Auswahl abzuschließen.

  5. Klicken Sie unter Richtliniendetails auf Bearbeiten, um die Richtliniendetails zu bearbeiten.

  6. Wählen Sie unter Gilt für die Option Inherit parent's policy aus.

  7. Klicken Sie auf Speichern, um die Organisationsrichtlinie zu speichern.

gcloud

So machen Sie die Richtlinie mit gcloud rückgängig:

gcloud resource-manager org-policies delete \
  run.allowedBinaryAuthorizationPolicies \
  --organization=ORGANIZATION_ID

Ersetzen Sie ORGANIZATION_ID durch die numerische ID der Organisation.

Der Befehl gibt Folgendes zurück:

Deleted [<Empty>]

Alternativ können Sie die Organisationsrichtlinie aufrufen, und beachten Sie, dass die Übernahme auf Inherit anstatt auf custom festgelegt ist und kein benutzerdefinierter Wert festgelegt ist.

Nächste Schritte