In dieser Anleitung erfahren Sie, wie Sie die Binärautorisierung für Cloud Run in Cloud-Audit-Logs aufrufen.
Blockierte Deployment-Ereignisse in Cloud Logging
Log-Explorer
Gehen Sie so vor, um im Log-Explorer von Cloud Logging aufgerufene Bereitstellungsereignisse anzusehen:
Rufen Sie die Seite "Log-Explorer" von Cloud-Audit-Logs auf:
Wählen Sie in der Projektauswahl oben auf der Seite die Google Cloud-Projekt-ID des Projekts aus, in dem Sie Cloud Run ausführen.
Geben Sie die folgende Abfrage in das Feld search-query ein:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"
Wählen Sie den Zeitraum unter time-range selector aus.
Klicken Sie auf Verschachtelte Felder erweitern, um in den Logeinträgen zu suchen.
gcloud
So rufen Sie mithilfe der Google Cloud CLI Ereignisse von Richtlinienverstößen der letzten Woche in Cloud Logging auf:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"'
Break-Glass-Ereignisse in Cloud Logging
Mit Break-Glass können Sie die Durchsetzung von Richtlinien für die Binärautorisierung überschreiben und ein Container-Image bereitstellen, das gegen die Richtlinie verstößt.
Cloud Logging nach Überarbeitungen mit angegebenem Break-Glass abfragen
Log-Explorer
So rufen Sie Break-Glass-Ereignisse im Log-Explorer von Cloud Logging auf:
Rufen Sie die Seite "Log-Explorer" von Cloud-Audit-Logs auf:
Wählen Sie in der Projektauswahl oben auf der Seite die Projekt-ID des Projekts aus, in dem Sie Cloud Run ausführen.
Geben Sie die folgende Abfrage in das Feld search-query ein:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "breakglass"
Fügen Sie die folgenden Zeilen hinzu, um die Suche weiter zu verfeinern:
resource.labels.service_name = SERVICE_NAME resource.labels.location = LOCATION
Wählen Sie den Zeitraum unter time-range selector aus.
Klicken Sie auf Verschachtelte Felder erweitern, um in den Logeinträgen zu suchen.
gcloud
So rufen Sie mit der gcloud CLI in Cloud Logging Break-Glass-Ereignisse der letzten Woche auf:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"breakglass"'
Fail-Open-Ereignisse in Cloud Logging abfragen
Log-Explorer
So rufen Sie im Log-Explorer von Cloud Logging Fail-Open-Ereignisse auf:
Rufen Sie die Seite "Log-Explorer" von Cloud-Audit-Logs auf:
Wählen Sie in der Projektauswahl oben auf der Seite die Projekt-ID des Projekts aus, in dem Sie Cloud Run ausführen.
Geben Sie die folgende Abfrage in das Feld search-query ein:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "encountered an error"
Wählen Sie den Zeitraum unter time-range selector aus.
Klicken Sie auf Verschachtelte Felder erweitern, um in den Logeinträgen zu suchen.
gcloud
So rufen Sie in Cloud Logging mit der gcloud CLI Fail-Open-Ereignisse der letzten Woche auf:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"encountered an error"'
Cloud Logging nach Probelaufereignissen abfragen
Log-Explorer
So rufen Sie im Log-Explorer von Cloud Logging Probelaufereignisse auf:
Rufen Sie die Seite "Log-Explorer" von Cloud-Audit-Logs auf:
Wählen Sie in der Projektauswahl oben auf der Seite die Projekt-ID des Projekts aus, in dem Sie Cloud Run ausführen.
Geben Sie die folgende Abfrage in das Feld search-query ein:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "dry run"
Wählen Sie den Zeitraum unter time-range selector aus.
Klicken Sie auf Verschachtelte Felder erweitern, um in den Logeinträgen zu suchen.
gcloud
So rufen Sie in Cloud Logging mit der gcloud CLI die Ereignisse des Probelaufs der letzten Woche auf:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"dry run"'
Nächste Schritte
Konfigurieren Sie die Richtlinie für die Binärautorisierung mithilfe der Google Cloud Console oder des Befehlszeilentools.
Verwenden Sie Attestierungen, um nur signierte Container-Images bereitzustellen.