Ce guide vous explique comment afficher l'autorisation binaire pour Cloud Run dans Cloud Audit Logs.
Événements de déploiement bloqué dans Cloud Logging
Explorateur de journaux
Pour afficher les événements de déploiement dans l'explorateur de journaux Cloud Audit Logs, procédez comme suit :
Accédez à la page Explorateur de journaux de Cloud Audit Logs :
Dans le sélecteur de projet en haut de la page, sélectionnez l'ID du projet Google Cloud dans lequel vous exécutez Cloud Run.
Saisissez la requête suivante dans la zone de search-query :
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"
Sélectionnez la période dans le sélecteur de période.
Pour effectuer une recherche dans les entrées de journal, cliquez sur Développer les champs imbriqués.
gcloud
Pour afficher à l'aide de Google Cloud CLI les événements de non-respect des règles survenus au cours de la semaine précédente dans Cloud Logging, procédez comme suit :
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"'
Événements de type "bris de glace" dans Cloud Logging
Le mode bris de glace vous permet d'ignorer l'application de la stratégie d'autorisation binaire et de déployer une image de conteneur qui enfreint la stratégie.
Interroger Cloud Logging pour les révisions avec le mode "bris de glace" spécifié
Explorateur de journaux
Pour afficher les événements de type "bris de glace" dans l'explorateur de journaux Cloud Logging, procédez comme suit :
Accédez à la page Explorateur de journaux de Cloud Audit Logs :
Dans le Sélecteur de projet en haut de la page, sélectionnez l'ID du projet dans lequel vous exécutez Cloud Run.
Saisissez ce qui suit dans la zone de search-query :
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "breakglass"
Pour affiner votre recherche, ajoutez les lignes suivantes :
resource.labels.service_name = SERVICE_NAME resource.labels.location = LOCATION
Afficher les déploiements de type "bris de glace" dans Cloud Logging
Sélectionnez la période dans le sélecteur de période.
Pour effectuer une recherche dans les entrées de journal, cliquez sur Développer les champs imbriqués.
gcloud
Pour afficher les événements de type bris de glace de la semaine précédente dans Cloud Logging à l'aide de gcloud CLI, procédez comme suit :
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"breakglass"'
Interroger Cloud Logging pour les événements de type "fail open"
Explorateur de journaux
Pour afficher les événements de type "fail open" dans l'explorateur de journaux Cloud Logging, procédez comme suit :
Accédez à la page Explorateur de journaux de Cloud Audit Logs :
Dans le Sélecteur de projet en haut de la page, sélectionnez l'ID du projet dans lequel vous exécutez Cloud Run.
Saisissez ce qui suit dans la zone de search-query :
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "encountered an error"
Sélectionnez la période dans le sélecteur de période.
Pour effectuer une recherche dans les entrées de journal, cliquez sur Développer les champs imbriqués.
gcloud
Pour afficher les événements de type "fail open" survenus au cours de la semaine précédente dans Cloud Logging à l'aide de gcloud CLI, procédez comme suit :
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"encountered an error"'
Interroger Cloud Logging pour les événements de simulation
Explorateur de journaux
Pour afficher les événements de simulation dans l'explorateur de journaux Cloud Logging, procédez comme suit :
Accédez à la page Explorateur de journaux de Cloud Audit Logs :
Dans le Sélecteur de projet en haut de la page, sélectionnez l'ID du projet dans lequel vous exécutez Cloud Run.
Saisissez ce qui suit dans la zone de search-query :
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "dry run"
Sélectionnez la période dans le sélecteur de période.
Pour effectuer une recherche dans les entrées de journal, cliquez sur Développer les champs imbriqués.
gcloud
Pour afficher les événements de déploiement dry run de la semaine précédente dans Cloud Logging à l'aide de gcloud CLI, procédez comme suit :
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"dry run"'
Étape suivante
Configurez la règle d'autorisation binaire en utilisant la console Google Cloud ou l'outil de ligne de commande.
Utilisez des attestations pour ne déployer que des images de conteneurs signées.