Cloud Run에 대해 Binary Authorization 요구

이 페이지에서는 Cloud Run에 배포된 컨테이너 이미지에 대해 Binary Authorization 적용을 요구하는 조직 정책을 구성하는 방법을 설명합니다. 프로젝트, 폴더, 조직에 대해 적용을 요구할 수 있습니다.

시작하기 전에

이 제약조건을 설정하려면 조직 정책을 수정할 권한이 있어야 합니다. 예를 들어 orgpolicy.policyAdmin 역할은 조직 정책 제약조건을 설정할 권한이 있습니다. resourcemanager.organizationAdmin 역할에는 사용자를 조직 정책 관리자로 추가할 수 있는 권한이 있습니다. 조직 수준에서 정책을 관리하는 방법에 대해서는 제약조건 사용 페이지에서 자세히 알아보세요. 커스텀 제약조건을 사용하여 프로젝트 수준에서 Binary Authorization이 default로 설정되도록 요구할 수 있습니다.

조직 정책 설정

이 섹션에서는 Cloud Run에 배포된 이미지에 대해 Binary Authorization 적용을 요구하는 조직 정책을 설정하는 방법을 보여줍니다. Google Cloud 콘솔 또는 Google Cloud CLI를 사용하여 정책을 설정할 수 있습니다.

콘솔

Google Cloud Console을 사용하여 조직 정책을 설정하려면 다음을 수행합니다.

  1. Google Cloud Console에서 조직 정책 페이지로 이동합니다.

    조직 정책으로 이동

  2. 페이지 상단의 프로젝트 선택기에서 다음을 수행합니다.

    1. 정책을 설정하려는 조직을 선택합니다.

      폴더 ID프로젝트 ID를 각각 사용하여 조직, 폴더, 프로젝트 수준에서 정책을 설정할 수 있습니다. 자세한 내용은 제약조건 사용을 참조하세요.

    2. 선택을 완료하려면 열기를 클릭합니다.

  3. 필터에서 다음을 입력합니다.

    Allowed Binary Authorization Policies (Cloud Run)
    
  4. 정책 세부정보를 수정하려면 정책 세부정보에서 수정을 클릭합니다.

  5. 적용 대상에서 맞춤설정을 클릭합니다.

  6. 정책 유형Allow로 설정되어 있는지 확인합니다.

조직 정책에 요구되는 기본 Binary Authorization 정책을 설정하려면 다음을 수행합니다.

  1. 커스텀 값의 텍스트 필드에 default를 입력합니다.

    정책 값을 default로 설정해야 합니다. 값을 default로 설정하면 Cloud Run 서비스와 동일한 프로젝트의 정책을 사용하도록 Binary Authorization이 구성됩니다.

  2. 이 조직 정책을 저장하려면 저장을 클릭합니다.

gcloud

gcloud를 사용하여 조직 정책을 설정하려면 다음을 수행합니다.

gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \
  default \
  --organization=ORGANIZATION_ID

ORGANIZATION_ID를 조직의 숫자 ID로 바꿉니다.

--folder 또는 --project 플래그와 폴더 ID프로젝트 ID를 각각 사용하여 조직 정책을 폴더 또는 프로젝트에 적용할 수도 있습니다.

조직 정책 보기

Google Cloud Console 또는 gcloud를 사용하여 조직 정책을 볼 수 있습니다.

콘솔

  1. Google Cloud Console에서 조직 정책 페이지로 이동합니다.

    조직 정책으로 이동

  2. 프로젝트 선택기에서 정책을 보려는 조직을 선택합니다.

  3. 필터에서 다음을 입력합니다.

    Allowed Binary Authorization Policies (Cloud Run)
    
  4. 선택을 완료하려면 열기를 클릭합니다.

  5. Allowed Binary Authorization Policies (Cloud Run) 정책 구성을 볼 수 있습니다.

gcloud

조직에서 Cloud Run에 Binary Authorization을 요구하는 조직 정책을 보려면 다음 명령어를 입력합니다.

gcloud resource-manager org-policies describe \
  run.allowedBinaryAuthorizationPolicies \
  --effective \
  --organization=ORGANIZATION_ID

ORGANIZATION_ID를 조직의 숫자 ID로 바꿉니다.

정책 되돌리기

Cloud Run에서 Google Cloud Console 또는 gcloud를 사용하여 Binary Authorization 적용을 더 이상 요구하지 않도록 정책을 되돌릴 수 있습니다.

콘솔

Google Cloud Console을 사용하여 정책을 되돌리려면 다음을 수행합니다.

  1. Google Cloud Console에서 조직 정책 페이지로 이동합니다.

    조직 정책으로 이동

  2. 프로젝트 선택기에서 정책을 되돌리려는 조직을 선택합니다.

  3. 필터에서 다음을 입력합니다.

    Allowed Binary Authorization Policies (Cloud Run)
    
  4. 선택을 완료하려면 열기를 클릭합니다.

  5. 정책 세부정보를 수정하려면 정책 세부정보에서 수정을 클릭합니다.

  6. 적용 대상에서 Inherit parent's policy를 선택합니다.

  7. 조직 정책을 저장하려면 저장을 클릭합니다.

gcloud

gcloud를 사용하여 정책을 되돌리려면 다음을 수행합니다.

gcloud resource-manager org-policies delete \
  run.allowedBinaryAuthorizationPolicies \
  --organization=ORGANIZATION_ID

ORGANIZATION_ID를 조직의 숫자 ID로 바꿉니다.

이 명령어는 다음을 반환합니다.

Deleted [<Empty>]

또는 조직 정책을 확인하고, 상속custom 대신 Inherit로 설정되어 있고 설정된 커스텀 값이 없는지 확인할 수 있습니다.

다음 단계