Requerir autorización binaria para Cloud Run

En esta página se describe cómo configurar una política de la organización que requiera la aplicación de la autorización binaria en las imágenes de contenedor que se despliegan en Cloud Run. Puedes requerir que se aplique en un proyecto, una carpeta o una organización.

Antes de empezar

Para poder establecer esta restricción, debes tener permiso para modificar las políticas de la organización. Por ejemplo, el rol orgpolicy.policyAdmin tiene permiso para definir restricciones de política de la organización. El rol de resourcemanager.organizationAdmin tiene permiso para añadir un usuario como administrador de políticas de la organización. Consulta la página Usar restricciones para obtener más información sobre cómo gestionar políticas a nivel de organización. Puedes usar una restricción personalizada para requerir que la autorización binaria se defina como default a nivel de proyecto.

Definir la política de organización

En esta sección se muestra cómo definir una política de organización para requerir la aplicación de la autorización binaria en las imágenes desplegadas en Cloud Run. Puedes definir la política con la Google Cloud consola o con la interfaz de línea de comandos de Google Cloud.

Consola

Para definir la política de la organización mediante la consola Google Cloud , haz lo siguiente:

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de organización

  2. En el selector de proyectos situado en la parte superior de la página, haga lo siguiente:

    1. Selecciona la organización en la que quieras definir la política.

      Puedes definir la política a nivel de organización, carpeta o proyecto mediante el ID de carpeta y el ID de proyecto, respectivamente. Para obtener más información, consulta Usar restricciones.

    2. Para completar la selección, haz clic en Abrir.

  3. En Filtro, introduce lo siguiente:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Para editar los detalles de la política, en Detalles de la política, haga clic en Editar.

  5. En Se aplica a, haz clic en Personalizar.

  6. Comprueba que Tipo de política esté configurado como Allow.

Para definir la política de autorización binaria predeterminada que requiere la política de la organización, haz lo siguiente:

  1. En Valores personalizados, escribe default en el campo de texto.

    El valor de la política debe ser default. Si se asigna el valor default a esta política, se configurará la autorización binaria para que use la política en el mismo proyecto que tus servicios de Cloud Run.

  2. Para guardar esta política de la organización, haz clic en Guardar.

gcloud

Para definir la política de organización con gcloud, haz lo siguiente:

gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \
  default \
  --organization=ORGANIZATION_ID

Sustituye ORGANIZATION_ID por el ID numérico de la organización.

También puedes aplicar la política de organización a una carpeta o a un proyecto con las marcas --folder o --project, y el ID de carpeta y el ID de proyecto, respectivamente.

Ver la política de organización

Puedes ver la política de la organización mediante la Google Cloud consola Google Cloud o gcloud.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de organización

  2. En el selector de proyectos, selecciona la organización cuya política quieras ver.

  3. En Filtro, introduce lo siguiente:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Para completar la selección, haz clic en Abrir.

  5. Puedes ver la Allowed Binary Authorization Policies (Cloud Run)configuración de la política.

gcloud

Para ver la política de la organización que requiere la autorización binaria para Cloud Run en una organización, introduce el siguiente comando:

gcloud resource-manager org-policies describe \
  run.allowedBinaryAuthorizationPolicies \
  --effective \
  --organization=ORGANIZATION_ID

Sustituye ORGANIZATION_ID por el ID numérico de la organización.

Deshacer la política

Puedes revertir la política para que Cloud Run ya no requiera la aplicación de la autorización binaria mediante la Google Cloud consolagcloud o la Google Cloud línea de comandosgcloud.

Consola

Para revertir la política mediante la consola Google Cloud , haz lo siguiente:

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de organización

  2. En el selector de proyectos, selecciona la organización en la que quieras deshacer la política.

  3. En Filtro, introduce lo siguiente:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Para completar la selección, haz clic en Abrir.

  5. Para editar los detalles de la política, en Detalles de la política, haga clic en Editar.

  6. En Aplicable a, selecciona Inherit parent's policy.

  7. Para guardar la política de la organización, haz clic en Guardar.

gcloud

Para revertir la política con gcloud, haz lo siguiente:

gcloud resource-manager org-policies delete \
  run.allowedBinaryAuthorizationPolicies \
  --organization=ORGANIZATION_ID

Sustituye ORGANIZATION_ID por el ID numérico de la organización.

El comando devuelve lo siguiente:

Deleted [<Empty>]

También puede consultar la política de la organización y observar que el valor de Herencia es Inherit en lugar de custom y que no hay ningún valor personalizado definido.

Siguientes pasos