이 페이지에서는 Cloud Run에 배포된 컨테이너 이미지에 대해 Binary Authorization 적용을 요구하는 조직 정책을 구성하는 방법을 설명합니다. 프로젝트, 폴더, 조직에 대해 적용을 요구할 수 있습니다.
시작하기 전에
이 제약조건을 설정하려면 조직 정책을 수정할 권한이 있어야 합니다. 예를 들어 orgpolicy.policyAdmin
역할은 조직 정책 제약조건을 설정할 권한이 있습니다. resourcemanager.organizationAdmin
역할에는 사용자를 조직 정책 관리자로 추가할 수 있는 권한이 있습니다.
조직 수준에서 정책을 관리하는 방법에 대해서는 제약조건 사용 페이지에서 자세히 알아보세요.
커스텀 제약조건을 사용하여 프로젝트 수준에서 Binary Authorization이 default
로 설정되도록 요구할 수 있습니다.
조직 정책 설정
이 섹션에서는 Cloud Run에 배포된 이미지에 대해 Binary Authorization 적용을 요구하는 조직 정책을 설정하는 방법을 보여줍니다. Google Cloud 콘솔 또는 Google Cloud CLI를 사용하여 정책을 설정할 수 있습니다.
콘솔
Google Cloud Console을 사용하여 조직 정책을 설정하려면 다음을 수행합니다.
Google Cloud Console에서 조직 정책 페이지로 이동합니다.
페이지 상단의 프로젝트 선택기에서 다음을 수행합니다.
필터에서 다음을 입력합니다.
Allowed Binary Authorization Policies (Cloud Run)
정책 세부정보를 수정하려면 정책 세부정보에서 수정을 클릭합니다.
적용 대상에서 맞춤설정을 클릭합니다.
정책 유형이
Allow
로 설정되어 있는지 확인합니다.
조직 정책에 요구되는 기본 Binary Authorization 정책을 설정하려면 다음을 수행합니다.
커스텀 값의 텍스트 필드에
default
를 입력합니다.정책 값을
default
로 설정해야 합니다. 값을default
로 설정하면 Cloud Run 서비스와 동일한 프로젝트의 정책을 사용하도록 Binary Authorization이 구성됩니다.이 조직 정책을 저장하려면 저장을 클릭합니다.
gcloud
gcloud
를 사용하여 조직 정책을 설정하려면 다음을 수행합니다.
gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \ default \ --organization=ORGANIZATION_ID
ORGANIZATION_ID를 조직의 숫자 ID로 바꿉니다.
--folder
또는 --project
플래그와 폴더 ID 및 프로젝트 ID를 각각 사용하여 조직 정책을 폴더 또는 프로젝트에 적용할 수도 있습니다.
조직 정책 보기
Google Cloud Console 또는 gcloud
를 사용하여 조직 정책을 볼 수 있습니다.
콘솔
Google Cloud Console에서 조직 정책 페이지로 이동합니다.
프로젝트 선택기에서 정책을 보려는 조직을 선택합니다.
필터에서 다음을 입력합니다.
Allowed Binary Authorization Policies (Cloud Run)
선택을 완료하려면 열기를 클릭합니다.
Allowed Binary Authorization Policies (Cloud Run)
정책 구성을 볼 수 있습니다.
gcloud
조직에서 Cloud Run에 Binary Authorization을 요구하는 조직 정책을 보려면 다음 명령어를 입력합니다.
gcloud resource-manager org-policies describe \ run.allowedBinaryAuthorizationPolicies \ --effective \ --organization=ORGANIZATION_ID
ORGANIZATION_ID를 조직의 숫자 ID로 바꿉니다.
정책 되돌리기
Cloud Run에서 Google Cloud Console 또는 gcloud
를 사용하여 Binary Authorization 적용을 더 이상 요구하지 않도록 정책을 되돌릴 수 있습니다.
콘솔
Google Cloud Console을 사용하여 정책을 되돌리려면 다음을 수행합니다.
Google Cloud Console에서 조직 정책 페이지로 이동합니다.
프로젝트 선택기에서 정책을 되돌리려는 조직을 선택합니다.
필터에서 다음을 입력합니다.
Allowed Binary Authorization Policies (Cloud Run)
선택을 완료하려면 열기를 클릭합니다.
정책 세부정보를 수정하려면 정책 세부정보에서 수정을 클릭합니다.
적용 대상에서
Inherit parent's policy
를 선택합니다.조직 정책을 저장하려면 저장을 클릭합니다.
gcloud
gcloud
를 사용하여 정책을 되돌리려면 다음을 수행합니다.
gcloud resource-manager org-policies delete \ run.allowedBinaryAuthorizationPolicies \ --organization=ORGANIZATION_ID
ORGANIZATION_ID를 조직의 숫자 ID로 바꿉니다.
이 명령어는 다음을 반환합니다.
Deleted [<Empty>]
또는 조직 정책을 확인하고, 상속이 custom
대신 Inherit
로 설정되어 있고 설정된 커스텀 값이 없는지 확인할 수 있습니다.