Exige la autorización binaria para Cloud Run

En esta página, se describe cómo configurar una política de la organización que exija la aplicación de la autorización binaria de las imágenes de contenedor que se implementan en Cloud Run. Puedes exigir la aplicación forzosa en un proyecto, una carpeta o una organización.

Antes de comenzar

Debes tener permiso para modificar las políticas de la organización a fin de configurar esta restricción. Por ejemplo, la función orgpolicy.policyAdmin tiene permiso para configurar restricciones en la política de la organización. La función resourcemanager.organizationAdmin tiene permiso para agregar un usuario como administrador de políticas de la organización. Lee la sección sobre cómo usar restricciones para obtener más información sobre la administración de las políticas a nivel de organización.

Establece la política de la organización

En esta sección, se muestra cómo configurar una política de la organización para exigir la aplicación de la autorización binaria en las imágenes implementadas en Cloud Run. Puedes configurar la política con la consola de Google Cloud o Google Cloud CLI.

Console

Para configurar la política de la organización con la consola de Google Cloud, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Políticas de la organización.

    Ir a Políticas de la organización

  2. En el Selector de proyectos en la parte superior de la página, haz lo siguiente:

    1. Selecciona la organización en la que deseas configurar la política.

      Puedes configurar la política en el nivel de organización, carpeta o proyecto mediante el ID de la carpeta y el ID del proyecto, respectivamente. Para obtener más información, consulta Usa restricciones.

    2. Para completar la selección, haz clic en Abrir.

  3. En Filtro, ingresa lo siguiente:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Para editar los detalles de la política, en Detalles de la política, haz clic en Editar.

  5. En Se aplica a, haz clic en Personalizar.

  6. Asegúrate de que el Tipo de política esté configurado como Allow.

Para configurar la política de autorización binaria predeterminada que exige la política de la organización, haz lo siguiente:

  1. En Valores personalizados, en el campo de texto, escribe default.

    El valor de la política debe configurarse como default. Si estableces el valor en default, se configura la autorización binaria para usar la política en el mismo proyecto que los servicios de Cloud Run.

  2. Para guardar esta política de la organización, haz clic en Guardar.

gcloud

Para configurar la política de la organización con gcloud, haz lo siguiente:

gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \
  default \
  --organization=ORGANIZATION_ID

Reemplaza ORGANIZATION_ID por el ID numérico de la organización.

También puedes aplicar la política de la organización a una carpeta o proyecto con las marcas --folder o --project, y con el ID de la carpeta y el ID del proyecto, respectivamente.

Ve la política de la organización

Puedes ver la política de la organización con la consola de Google Cloud o gcloud.

Console

  1. En la consola de Google Cloud, ve a la página Políticas de la organización.

    Ir a Políticas de la organización

  2. En el Selector de proyectos, selecciona la organización cuya política deseas ver.

  3. En Filtro, ingresa lo siguiente:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Para completar la selección, haz clic en Abrir.

  5. Puedes ver la configuración de la política Allowed Binary Authorization Policies (Cloud Run).

gcloud

Si deseas ver la política de la organización que exige la autorización binaria para Cloud Run en una organización, ingresa el siguiente comando:

gcloud resource-manager org-policies describe \
  run.allowedBinaryAuthorizationPolicies \
  --effective \
  --organization=ORGANIZATION_ID

Reemplaza ORGANIZATION_ID por el ID numérico de la organización.

Revierte la política

Puedes revertir la política para que Cloud Run ya no exija la aplicación de la autorización binaria mediante la consola de Google Cloud o gcloud.

Console

Para revertir la política con la consola de Google Cloud, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Políticas de la organización.

    Ir a Políticas de la organización

  2. En el Selector de proyectos, selecciona la organización cuya política deseas revertir.

  3. En Filtro, ingresa lo siguiente:

    Allowed Binary Authorization Policies (Cloud Run)

  4. Para completar la selección, haz clic en Abrir.

  5. Para editar los detalles de la política, en Detalles de la política, haz clic en Editar.

  6. En Se aplica a, selecciona Inherit parent's policy.

  7. Para guardar la política de la organización, haz clic en Guardar.

gcloud

Para revertir la política con gcloud, haz lo siguiente:

gcloud resource-manager org-policies delete \
  run.allowedBinaryAuthorizationPolicies \
  --organization=ORGANIZATION_ID

Reemplaza ORGANIZATION_ID por el ID numérico de la organización.

El comando muestra lo siguiente:

Deleted [<Empty>]

Como alternativa, puedes ver la política de la organización y tener en cuenta que la herencia está configurada como Inherit, en lugar de custom y que no hay un conjunto personalizado de valores.

¿Qué sigue?