Nesta página, descrevemos como configurar uma política da organização que exige a aplicação de autorização binária de imagens de contêiner implantadas para o Cloud Run. É possível exigir a aplicação em um projeto, uma pasta ou uma organização.
Antes de começar
Você precisa ter permissão para modificar as políticas da organização para definir essa restrição. Por exemplo, o papel orgpolicy.policyAdmin
tem permissão para definir restrições da política da organização. O papel
resourcemanager.organizationAdmin
tem permissão para adicionar um usuário como administrador da Política da Organização.
Consulte a página
Como usar restrições
para saber como gerenciar políticas no nível da organização.
É possível usar uma restrição personalizada
para exigir que a Autorização binária seja definida como default
no nível do
projeto.
Como definir a política da organização
Nesta seção, mostramos como definir uma política da organização para exigir aplicação da autorização binária em imagens implantadas para o Cloud Run. É possível definir a política usando o Console do Google Cloud ou a Google Cloud CLI.
Console
Para definir as políticas da organização no Console do Google Cloud, faça o seguinte:
No Console do Google Cloud, acesse a página de políticas da organização.
No Seletor de projetos, na parte superior da página:
Selecione a organização cuja política será definida.
É possível definir a política no nível da organização, da pasta ou do projeto usando o ID da pasta e o ID do projeto, respectivamente. Para saber mais, consulte Como usar restrições.
Para concluir a seleção, clique em Abrir.
Em Filtro, insira:
Allowed Binary Authorization Policies (Cloud Run)
Para editar os detalhes da política, em Detalhes da política, clique em Editar.
Em Aplica-se a, clique em Personalizar.
Verifique se a opção Tipo de política está definida como
Allow
.
Para definir a política de autorização binária padrão exigida pela política da organização, faça o seguinte:
Em Valores personalizados, digite
default
no campo de texto.O valor da política precisa ser definido como
default
. Definir o valor comodefault
configura a autorização binária para usar a política no mesmo projeto dos serviços do Cloud Run.Para salvar a política da organização, clique em Salvar.
gcloud
Para definir a política da organização usando gcloud
, faça o seguinte:
gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \ default \ --organization=ORGANIZATION_ID
Substitua ORGANIZATION_ID pelo ID numérico da organização.
Você também pode aplicar a política da organização a uma pasta ou um projeto com as
sinalizações --folder
ou --project
e o
ID da pasta
e o
ID do projeto,
respectivamente.
Ver a política da organização
É possível ver a política da organização usando o Console do Google Cloud ou gcloud
.
Console
No Console do Google Cloud, acesse a página de políticas da organização.
No Seletor de projetos, selecione a organização da qual você quer ver a política.
Em Filtro, insira:
Allowed Binary Authorization Policies (Cloud Run)
Para concluir a seleção, clique em Abrir.
É possível visualizar a configuração da política
Allowed Binary Authorization Policies (Cloud Run)
.
gcloud
Para visualizar a política da organização que exige autorização binária para o Cloud Run em uma organização, digite o seguinte comando:
gcloud resource-manager org-policies describe \ run.allowedBinaryAuthorizationPolicies \ --effective \ --organization=ORGANIZATION_ID
Substitua ORGANIZATION_ID pelo ID numérico da organização.
Reverter a política
É possível reverter a política para que o Cloud Run não exija mais
a aplicação da autorização binária usando o Console do Google Cloud ou
gcloud
.
Console
Para reverter a política usando o Console do Google Cloud, faça o seguinte:
No Console do Google Cloud, acesse a página de políticas da organização.
No Seletor de projetos, selecione a organização cuja política será revertida.
Em Filtro, insira:
Allowed Binary Authorization Policies (Cloud Run)
Para concluir a seleção, clique em Abrir.
Para editar os detalhes da política, em Detalhes da política, clique em Editar.
Em Aplica-se a, selecione
Inherit parent's policy
.Para salvar a política da organização, clique em Salvar.
gcloud
Para reverter a política usando gcloud
, faça o seguinte:
gcloud resource-manager org-policies delete \ run.allowedBinaryAuthorizationPolicies \ --organization=ORGANIZATION_ID
Substitua ORGANIZATION_ID pelo ID numérico da organização.
O comando retorna o resultado a seguir:
Deleted [<Empty>]
Você também pode ver a política da organização e observar que
a Herança está definida como Inherit
, em vez decustom
, e que não há
um valor personalizado definido.
A seguir
- Ativar a autorização binária em um serviço do Cloud Run
- Implantar um serviço pré-criado do Cloud Run
- Configurar uma política de autorização binária