이 가이드에서는 Cloud 감사 로그에서 Cloud Run의 Binary Authorization을 보는 방법을 보여줍니다.
Cloud Logging의 차단된 배포 이벤트
로그 탐색기
Cloud Logging 로그 탐색기에서 차단된 배포 이벤트를 보려면 다음을 수행합니다.
Cloud 감사 로그 로그 탐색기 페이지로 이동합니다.
페이지 상단의 프로젝트 선택기에서 Cloud Run을 실행하는 프로젝트의 Google Cloud 프로젝트 ID를 선택합니다.
검색어 상자에 다음 쿼리를 입력합니다.
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"
시간 범위 선택기에서 기간을 선택합니다.
로그 항목 내에서 검색하려면 중첩된 필드 확장을 클릭합니다.
gcloud
Google Cloud CLI를 사용하여 Cloud Logging에서 지난 주의 정책 위반 이벤트를 보려면 다음을 수행합니다.
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"'
Cloud Logging의 breakglass 이벤트
Breakglass를 사용하면 Binary Authorization 정책 시행을 재정의하고 정책을 위반하는 컨테이너 이미지를 배포할 수 있습니다.
Cloud Logging에서 breakglass가 지정된 버전 쿼리
로그 탐색기
Cloud Logging 로그 탐색기에서 breakglass 이벤트를 보려면 다음을 수행합니다.
Cloud 감사 로그 로그 탐색기 페이지로 이동합니다.
페이지 상단의 프로젝트 선택기에서 Cloud Run을 실행하는 프로젝트의 프로젝트 ID를 선택합니다.
검색어 상자에 다음을 입력합니다.
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "breakglass"
검색을 더 세분화하려면 다음 줄을 추가하세요.
resource.labels.service_name = SERVICE_NAME resource.labels.location = LOCATION
시간 범위 선택기에서 기간을 선택합니다.
로그 항목 내에서 검색하려면 중첩된 필드 확장을 클릭합니다.
gcloud
gcloud CLI를 사용하여 Cloud Logging에서 이전 주의 breakglass 이벤트를 보려면 다음을 수행합니다.
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"breakglass"'
Fail Open 이벤트의 Cloud Logging 쿼리
로그 탐색기
Cloud Logging 로그 탐색기에서 Fail Open 이벤트를 보려면 다음을 수행합니다.
Cloud 감사 로그 로그 탐색기 페이지로 이동합니다.
페이지 상단의 프로젝트 선택기에서 Cloud Run을 실행하는 프로젝트의 프로젝트 ID를 선택합니다.
검색어 상자에 다음을 입력합니다.
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "encountered an error"
시간 범위 선택기에서 기간을 선택합니다.
로그 항목 내에서 검색하려면 중첩된 필드 확장을 클릭합니다.
gcloud
Cloud Logging에서 gcloud CLI를 사용하여 이전 주의 Fail Open 이벤트를 보려면 다음을 수행합니다.
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"encountered an error"'
테스트 실행 이벤트의 Cloud Logging 쿼리
로그 탐색기
Cloud Logging 로그 탐색기에서 테스트 실행 이벤트를 보려면 다음을 수행합니다.
Cloud 감사 로그 로그 탐색기 페이지로 이동합니다.
페이지 상단의 프로젝트 선택기에서 Cloud Run을 실행하는 프로젝트의 프로젝트 ID를 선택합니다.
검색어 상자에 다음을 입력합니다.
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "dry run"
시간 범위 선택기에서 기간을 선택합니다.
로그 항목 내에서 검색하려면 중첩된 필드 확장을 클릭합니다.
gcloud
gcloud CLI를 사용하여 Cloud Logging에서 이전 주의 테스트 실행 배포 이벤트를 보려면 다음을 수행합니다.
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"dry run"'
다음 단계
Google Cloud Console 또는 명령줄 도구를 사용하여 Binary Authorization 정책 구성
증명을 사용하여 서명된 컨테이너 이미지만 배포