Mewajibkan Otorisasi Biner untuk Cloud Run

Halaman ini menjelaskan cara mengonfigurasi kebijakan organisasi yang mewajibkan penerapan Otorisasi Biner pada image container yang di-deploy ke Cloud Run. Anda dapat mewajibkan penerapan untuk project, folder, atau organisasi.

Sebelum memulai

Anda harus memiliki izin untuk mengubah kebijakan organisasi guna menetapkan batasan ini. Misalnya, peran orgpolicy.policyAdmin memiliki izin untuk menetapkan batasan kebijakan organisasi. Peran resourcemanager.organizationAdmin memiliki izin untuk menambahkan pengguna sebagai Administrator Kebijakan Organisasi. Baca halaman Menggunakan Batasan untuk mempelajari lebih lanjut cara mengelola kebijakan di tingkat organisasi. Anda dapat menggunakan batasan kustom untuk mewajibkan Otorisasi Biner ditetapkan ke default di tingkat project.

Menetapkan kebijakan organisasi

Bagian ini menunjukkan cara menetapkan kebijakan organisasi untuk mewajibkan penerapan Otorisasi Biner pada image yang di-deploy ke Cloud Run. Anda dapat menetapkan kebijakan menggunakan Konsol Google Cloud atau Google Cloud CLI.

Konsol

Untuk menetapkan kebijakan organisasi menggunakan konsol Google Cloud, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Kebijakan organisasi.

    Buka Organization policies

  2. Di Project Selector di bagian atas halaman, lakukan hal berikut:

    1. Pilih organisasi yang kebijakannya ingin Anda tetapkan.

      Anda dapat menetapkan kebijakan di tingkat organisasi, folder, atau project menggunakan ID folder dan project ID. Untuk mempelajari lebih lanjut, lihat Menggunakan batasan.

    2. Untuk menyelesaikan pemilihan, klik Buka.

  3. Di Filter, masukkan hal berikut:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Untuk mengedit detail kebijakan, di Detail kebijakan, klik Edit.

  5. Di bagian Berlaku untuk, klik Sesuaikan.

  6. Pastikan Policy type disetel ke Allow.

Untuk menetapkan kebijakan Otorisasi Biner default yang diperlukan kebijakan organisasi, lakukan hal berikut:

  1. Di Custom values, di kolom teks, ketik default.

    Nilai kebijakan harus ditetapkan ke default. Menetapkan nilai ke default akan mengonfigurasi Otorisasi Biner untuk menggunakan kebijakan dalam project yang sama dengan layanan Cloud Run Anda.

  2. Untuk menyimpan kebijakan organisasi ini, klik Save.

gcloud

Untuk menetapkan kebijakan organisasi menggunakan gcloud, lakukan hal berikut:

gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \
  default \
  --organization=ORGANIZATION_ID

Ganti ORGANIZATION_ID dengan ID numerik organisasi.

Anda juga dapat menerapkan kebijakan organisasi ke folder atau project dengan flag --folder atau --project, serta ID folder dan project ID.

Melihat kebijakan organisasi

Anda dapat melihat kebijakan organisasi menggunakan konsol Google Cloud atau gcloud.

Konsol

  1. Di konsol Google Cloud, buka halaman Kebijakan organisasi.

    Buka Organization policies

  2. Di Project Selector, pilih organisasi yang ingin Anda lihat kebijakannya.

  3. Di Filter, masukkan hal berikut:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Untuk menyelesaikan pemilihan, klik Buka.

  5. Anda dapat melihat konfigurasi kebijakan Allowed Binary Authorization Policies (Cloud Run).

gcloud

Untuk melihat kebijakan organisasi yang memerlukan Otorisasi Biner untuk Cloud Run di organisasi, masukkan perintah berikut:

gcloud resource-manager org-policies describe \
  run.allowedBinaryAuthorizationPolicies \
  --effective \
  --organization=ORGANIZATION_ID

Ganti ORGANIZATION_ID dengan ID numerik organisasi.

Mengembalikan kebijakan

Anda dapat mengembalikan kebijakan sehingga Cloud Run tidak lagi memerlukan penerapan Otorisasi Biner menggunakan Konsol Google Cloud atau gcloud.

Konsol

Untuk mengembalikan kebijakan menggunakan konsol Google Cloud, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Kebijakan organisasi.

    Buka Organization policies

  2. Di Project Selector, pilih organisasi yang ingin Anda rollback kebijakannya.

  3. Di Filter, masukkan hal berikut:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Untuk menyelesaikan pemilihan, klik Buka.

  5. Untuk mengedit detail kebijakan, di Detail kebijakan, klik Edit.

  6. Di Applies to, pilih Inherit parent's policy.

  7. Untuk menyimpan kebijakan organisasi, klik Save.

gcloud

Untuk mengembalikan kebijakan menggunakan gcloud, lakukan hal berikut:

gcloud resource-manager org-policies delete \
  run.allowedBinaryAuthorizationPolicies \
  --organization=ORGANIZATION_ID

Ganti ORGANIZATION_ID dengan ID numerik organisasi.

Perintah ini menampilkan hal berikut:

Deleted [<Empty>]

Atau, Anda dapat melihat kebijakan organisasi dan memperhatikan bahwa Pewarisan ditetapkan ke Inherit, bukan custom, dan tidak ada nilai kustom yang ditetapkan.

Langkah selanjutnya