要求 Cloud Run 使用 Binary Authorization

本页面介绍如何配置组织政策,以要求对部署到 Cloud Run 的容器映像实现 Binary Authorization 强制执行。您可以要求对项目、文件夹或组织实现强制执行。

准备工作

您必须拥有修改组织政策的权限才能设置该限制条件。例如,orgpolicy.policyAdmin 角色具有设置组织政策限制条件的权限。resourcemanager.organizationAdmin 角色具有将用户添加为 Organization Policy Administrator 的权限。 如需详细了解如何在组织级层管理政策,请参阅使用限制条件页面。

设置组织政策

本部分介绍如何设置组织政策,以要求对部署到 Cloud Run 的映像实现 Binary Authorization 强制执行。您可以使用 Google Cloud Console 或 Google Cloud CLI 来设置政策。

控制台

如需使用 Google Cloud 控制台设置组织政策,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到“组织政策”页面。

    转到组织政策

  2. 在页面顶部的项目选择器中,执行以下操作:

    1. 选择要为其设置政策的组织。

      您可以在组织级层设置政策,也可以通过使用文件夹 ID项目 ID 分别在文件夹级层或项目级层设置政策。如需了解详情,请参阅使用限制条件

    2. 如需完成选择,请点击打开

  3. 过滤条件中,输入以下内容:

    Allowed Binary Authorization Policies (Cloud Run)
    
  4. 如需修改政策详情,请在政策详情中点击修改

  5. 应用对象中,点击自定义

  6. 确保将政策类型设置为 Allow

如需设置组织政策所需的默认 Binary Authorization 政策,请执行以下操作:

  1. 自定义值的文本字段中,输入 default

    政策值必须设置为 default。将值设置为 default 可将 Binary Authorization 配置为使用 Cloud Run 服务所在的项目中的政策。

  2. 如需保存此组织政策,请点击保存

gcloud

如需使用 gcloud 设置组织政策,请执行以下操作:

gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \
  default \
  --organization=ORGANIZATION_ID

ORGANIZATION_ID 替换为组织的数字 ID。

您还可以将组织政策应用于分别带有 --folder--project 标志以及文件夹 ID项目 ID 的文件夹或项目。

查看组织政策

您可以使用 Google Cloud 控制台或 gcloud 查看组织政策。

控制台

  1. 在 Google Cloud 控制台中,转到“组织政策”页面。

    转到组织政策

  2. 项目选择器中,选择要查看其政策的组织。

  3. 过滤条件中,输入以下内容:

    Allowed Binary Authorization Policies (Cloud Run)
    
  4. 如需完成选择,请点击打开

  5. 您可以查看 Allowed Binary Authorization Policies (Cloud Run) 政策配置。

gcloud

如需查看要求组织具有 Binary Authorization for Cloud Run 的组织政策,请输入以下命令:

gcloud resource-manager org-policies describe \
  run.allowedBinaryAuthorizationPolicies \
  --effective \
  --organization=ORGANIZATION_ID

ORGANIZATION_ID 替换为组织的数字 ID。

还原政策

您可以使用 Google Cloud 控制台或 gcloud 还原政策,以使 Cloud Run 不再要求实现 Binary Authorization 强制执行。

控制台

如需使用 Google Cloud 控制台还原政策,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到“组织政策”页面。

    转到组织政策

  2. 项目选择器中,选择要为其还原政策的组织。

  3. 过滤条件中,输入以下内容:

    Allowed Binary Authorization Policies (Cloud Run)
    
  4. 如需完成选择,请点击打开

  5. 如需修改政策详情,请在政策详情中点击修改

  6. 应用对象中,选择 Inherit parent's policy

  7. 如需保存组织政策,请点击保存

gcloud

如需使用 gcloud 还原政策,请执行以下操作:

gcloud resource-manager org-policies delete \
  run.allowedBinaryAuthorizationPolicies \
  --organization=ORGANIZATION_ID

ORGANIZATION_ID 替换为组织的数字 ID。

命令返回以下内容:

Deleted [<Empty>]

或者,您可以查看组织政策并注意继承设置为 Inherit,而不是 custom,并且没有设置自定义值。

后续步骤