Exigir autorização binária para o Cloud Run

Nesta página, descrevemos como configurar uma política da organização que exige a aplicação de autorização binária de imagens de contêiner implantadas para o Cloud Run. É possível exigir a aplicação em um projeto, uma pasta ou uma organização.

Antes de começar

Você precisa ter permissão para modificar as políticas da organização para definir essa restrição. Por exemplo, o papel orgpolicy.policyAdmin tem permissão para definir restrições da política da organização. O papel resourcemanager.organizationAdmin tem permissão para adicionar um usuário como administrador da Política da Organização. Consulte a página Como usar restrições para saber como gerenciar políticas no nível da organização.

Como definir a política da organização

Nesta seção, mostramos como definir uma política da organização para exigir aplicação da autorização binária em imagens implantadas para o Cloud Run. É possível definir a política usando o Console do Google Cloud ou a ferramenta de linha de comando gcloud.

Console

Para definir a política da organização usando o Console do Cloud, faça o seguinte:

  1. No Console do Google Cloud, acesse a página Políticas da organização.

    Acessar as políticas da organização

  2. No Seletor de projetos, na parte superior da página:

    1. Selecione a organização para a qual definirá a política.

      É possível definir a política no nível da organização, da pasta ou do projeto usando o ID da pasta e o ID do projeto, respectivamente. Para saber mais, consulte Como usar restrições.

    2. Para concluir a seleção, clique em Abrir.

  3. Em Filtro, insira:

    Allowed Binary Authorization Policies (Cloud Run)
    
  4. Para editar os detalhes da política, em Detalhes da política, clique em Editar.

  5. Em Aplica-se a, clique em Personalizar.

  6. Verifique se a opção Tipo de política está definida como Allow.

Para definir a política de autorização binária padrão exigida pela política da organização, faça o seguinte:

  1. Em Valores personalizados, digite default no campo de texto.

    O valor da política precisa ser definido como default. Definir o valor como default configura a autorização binária para usar a política no mesmo projeto dos serviços do Cloud Run.

  2. Para salvar a política da organização, clique em Salvar.

gcloud

Para definir a política da organização usando gcloud, faça o seguinte:

gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \
  default \
  --organization=ORGANIZATION_ID

Substitua ORGANIZATION_ID pelo ID numérico da organização.

Você também pode aplicar a política da organização a uma pasta ou um projeto com as sinalizações --folder ou --project e o ID da pasta e o ID do projeto, respectivamente.

Ver a política da organização

É possível ver a política da organização usando o Console do Cloud ou gcloud.

Console

  1. No Console do Google Cloud, acesse a página Políticas da organização.

    Acessar as políticas da organização

  2. No Seletor de projetos, selecione a organização da qual você quer ver a política.

  3. Em Filtro, insira:

    Allowed Binary Authorization Policies (Cloud Run)
    
  4. Para concluir a seleção, clique em Abrir.

  5. É possível visualizar a configuração da política Allowed Binary Authorization Policies (Cloud Run).

gcloud

Para visualizar a política da organização que exige autorização binária para o Cloud Run em uma organização, digite o seguinte comando:

gcloud resource-manager org-policies describe \
  run.allowedBinaryAuthorizationPolicies \
  --effective \
  --organization=ORGANIZATION_ID

Substitua ORGANIZATION_ID pelo ID numérico da organização.

Reverter a política

É possível reverter a política para que o Cloud Run não exija mais a aplicação da autorização binária usando o Console do Cloud ou gcloud.

Console

Para reverter a política usando o Console do Cloud, faça o seguinte:

  1. No Console do Google Cloud, acesse a página Políticas da organização.

    Acessar as políticas da organização

  2. No Seletor de projetos, selecione a organização para a qual você quer reverter a política.

  3. Em Filtro, insira:

    Allowed Binary Authorization Policies (Cloud Run)
    
  4. Para concluir a seleção, clique em Abrir.

  5. Para editar os detalhes da política, em Detalhes da política, clique em Editar.

  6. Em Aplica-se a, selecione Inherit parent's policy.

  7. Para salvar a política da organização, clique em Salvar.

gcloud

Para reverter a política usando gcloud, faça o seguinte:

gcloud resource-manager org-policies delete \
  run.allowedBinaryAuthorizationPolicies \
  --organization=ORGANIZATION_ID

Substitua ORGANIZATION_ID pelo ID numérico da organização.

O comando retorna o resultado a seguir:

Deleted [<Empty>]

Você também pode ver a política da organização e observar que a Herança está definida como Inherit, em vez decustom, e que não há um valor personalizado definido.

A seguir