本页面介绍如何配置组织政策,以要求对部署到 Cloud Run 的容器映像实现 Binary Authorization 强制执行。您可以要求对项目、文件夹或组织实现强制执行。
准备工作
您必须拥有修改组织政策的权限才能设置该限制条件。例如,orgpolicy.policyAdmin
角色具有设置组织政策限制条件的权限。resourcemanager.organizationAdmin
角色具有将用户添加为 Organization Policy Administrator 的权限。
如需详细了解如何在组织级层管理政策,请参阅使用限制条件页面。
设置组织政策
本部分介绍如何设置组织政策,以要求对部署到 Cloud Run 的映像实现 Binary Authorization 强制执行。您可以使用 Google Cloud Console 或 Google Cloud CLI 来设置政策。
控制台
如需使用 Google Cloud 控制台设置组织政策,请执行以下操作:
在 Google Cloud 控制台中,转到“组织政策”页面。
在页面顶部的项目选择器中,执行以下操作:
在过滤条件中,输入以下内容:
Allowed Binary Authorization Policies (Cloud Run)
如需修改政策详情,请在政策详情中点击修改。
在应用对象中,点击自定义。
确保将政策类型设置为
Allow
。
如需设置组织政策所需的默认 Binary Authorization 政策,请执行以下操作:
在自定义值的文本字段中,输入
default
。政策值必须设置为
default
。将值设置为default
可将 Binary Authorization 配置为使用 Cloud Run 服务所在的项目中的政策。如需保存此组织政策,请点击保存。
gcloud
如需使用 gcloud
设置组织政策,请执行以下操作:
gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \ default \ --organization=ORGANIZATION_ID
将 ORGANIZATION_ID 替换为组织的数字 ID。
您还可以将组织政策应用于分别带有 --folder
或 --project
标志以及文件夹 ID 和项目 ID 的文件夹或项目。
查看组织政策
您可以使用 Google Cloud 控制台或 gcloud
查看组织政策。
控制台
在 Google Cloud 控制台中,转到“组织政策”页面。
在项目选择器中,选择要查看其政策的组织。
在过滤条件中,输入以下内容:
Allowed Binary Authorization Policies (Cloud Run)
如需完成选择,请点击打开。
您可以查看
Allowed Binary Authorization Policies (Cloud Run)
政策配置。
gcloud
如需查看要求组织具有 Binary Authorization for Cloud Run 的组织政策,请输入以下命令:
gcloud resource-manager org-policies describe \ run.allowedBinaryAuthorizationPolicies \ --effective \ --organization=ORGANIZATION_ID
将 ORGANIZATION_ID 替换为组织的数字 ID。
还原政策
您可以使用 Google Cloud 控制台或 gcloud
还原政策,以使 Cloud Run 不再要求实现 Binary Authorization 强制执行。
控制台
如需使用 Google Cloud 控制台还原政策,请执行以下操作:
在 Google Cloud 控制台中,转到“组织政策”页面。
在项目选择器中,选择要为其还原政策的组织。
在过滤条件中,输入以下内容:
Allowed Binary Authorization Policies (Cloud Run)
如需完成选择,请点击打开。
如需修改政策详情,请在政策详情中点击修改。
在应用对象中,选择
Inherit parent's policy
。如需保存组织政策,请点击保存。
gcloud
如需使用 gcloud
还原政策,请执行以下操作:
gcloud resource-manager org-policies delete \ run.allowedBinaryAuthorizationPolicies \ --organization=ORGANIZATION_ID
将 ORGANIZATION_ID 替换为组织的数字 ID。
命令返回以下内容:
Deleted [<Empty>]
或者,您可以查看组织政策并注意继承设置为 Inherit
,而不是 custom
,并且没有设置自定义值。