要求 Cloud Run 服務使用二進位授權

本頁說明如何設定組織政策,要求對部署至 Cloud Run 的容器映像檔強制執行二進位授權。您可以要求對專案、資料夾或機構強制執行。

事前準備

您必須擁有修改機構政策的權限才能設定限制。舉例來說,orgpolicy.policyAdmin 角色具有設定機構政策限制的權限。resourcemanager.organizationAdmin 角色有權新增使用者做為機構政策管理員。請參閱「使用限制」頁面,進一步瞭解如何管理機構層級的政策。您可以使用自訂限制,要求在專案層級將二進位授權設為 default

設定機構政策

本節說明如何設定組織政策,要求對部署至 Cloud Run 的映像檔強制執行二進位授權。您可以使用 Google Cloud 控制台 或 Google Cloud CLI 設定政策。

主控台

如要使用 Google Cloud 控制台設定機構政策,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「Organization policies」(機構政策) 頁面。

    前往「機構政策」

  2. 在頁面頂端的「專案選取器」中,執行下列操作:

    1. 選取要設定政策的機構。

      您可以使用資料夾 ID專案 ID,分別在機構、資料夾或專案層級設定政策。詳情請參閱「使用限制」。

    2. 按一下「開啟」即可完成選取。

  3. 在「Filter」(篩選器) 中,輸入以下內容:

    Allowed Binary Authorization Policies (Cloud Run)

  4. 如要編輯政策詳細資料,請在「政策詳情」中按一下「編輯」

  5. 在「套用對象」中,按一下「自訂」

  6. 確認「政策類型」已設為 Allow

如要設定組織政策要求的預設二進位授權政策,請按照下列步驟操作:

  1. 在「自訂值」的文字欄位中,輸入 default

    政策值必須設為 default。將值設為 default,即可設定二進位授權,使用與 Cloud Run 服務相同的專案政策。

  2. 如要儲存這項機構政策,請按一下「儲存」

gcloud

如要使用 gcloud 設定機構政策,請按照下列步驟操作:

gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \
  default \
  --organization=ORGANIZATION_ID

ORGANIZATION_ID 替換為機構的數字 ID。

您也可以將組織政策分別套用到具有 --folder--project 標記的資料夾或專案,以及資料夾 ID專案 ID

查看機構政策

您可以使用 Google Cloud 控制台或 gcloud 查看機構政策。

主控台

  1. 前往 Google Cloud 控制台的「Organization policies」(機構政策) 頁面。

    前往「機構政策」

  2. 在「專案選取器」中,選取要查看政策的機構。

  3. 在「Filter」(篩選器) 中,輸入以下內容:

    Allowed Binary Authorization Policies (Cloud Run)

  4. 按一下「開啟」即可完成選取。

  5. 您可以查看Allowed Binary Authorization Policies (Cloud Run)政策設定。

gcloud

如要查看機構的機構政策,規定 Cloud Run 必須使用二進位授權,請輸入下列指令:

gcloud resource-manager org-policies describe \
  run.allowedBinaryAuthorizationPolicies \
  --effective \
  --organization=ORGANIZATION_ID

ORGANIZATION_ID 替換為機構的數字 ID。

還原政策

您可以使用 Google Cloud 控制台或 gcloud 還原政策,讓 Cloud Run 不再強制執行二進位授權。

主控台

如要使用 Google Cloud 控制台還原政策,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「Organization policies」(機構政策) 頁面。

    前往「機構政策」

  2. 在「專案選取器」中,選取要還原政策的機構。

  3. 在「Filter」(篩選器) 中,輸入以下內容:

    Allowed Binary Authorization Policies (Cloud Run)

  4. 按一下「開啟」即可完成選取。

  5. 如要編輯政策詳細資料,請在「政策詳情」中按一下「編輯」

  6. 在「套用至」中,選取 Inherit parent's policy

  7. 如要儲存機構政策,請按一下「儲存」

gcloud

如要使用 gcloud 還原政策,請按照下列步驟操作:

gcloud resource-manager org-policies delete \
  run.allowedBinaryAuthorizationPolicies \
  --organization=ORGANIZATION_ID

ORGANIZATION_ID 替換為機構的數字 ID。

指令會傳回以下結果:

Deleted [<Empty>]

或者,您也可以查看機構政策,並注意「沿用」設為 Inherit,而非 custom,且未設定任何自訂值。

後續步驟