このガイドでは、Cloud Audit Logs で Cloud Run の Binary Authorization を表示する方法について説明します。
Cloud Logging でのブロックされたデプロイ イベント
ログ エクスプローラ
ブロックされたデプロイ イベントを Cloud Logging のログ エクスプローラで確認する方法は次のとおりです。
Cloud Audit Logs の [ログ エクスプローラ] ページに移動します。
ページの上部にあるプロジェクト セレクタで、Cloud Run を実行するプロジェクトの Google Cloud プロジェクト ID を選択します。
次のクエリを検索クエリボックスに入力します。
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"時間範囲セレクタで期間を選択します。
ログエントリ内を検索するには、[ネストされたフィールドを開く] をクリックします。
gcloud
Google Cloud CLI を使用して Cloud Logging で過去 1 週間のポリシー違反イベントを表示するには、次の手順を行います。
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"'
Cloud Logging のブレークグラス イベント
ブレークグラスを使用すると、Binary Authorization ポリシーの適用をオーバーライドし、ポリシーに違反するコンテナ イメージをデプロイできます。
ブレークグラスが指定されたリビジョンを Cloud Logging でクエリする
ログ エクスプローラ
Cloud Logging のログ エクスプローラでブレークグラス イベントを表示するには、次の手順を行います。
Cloud Audit Logs の [ログ エクスプローラ] ページに移動します。
ページの上部にあるプロジェクト セレクタで、Cloud Run を実行するプロジェクトのプロジェクト ID を選択します。
次のクエリを検索クエリボックスに入力します。
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "breakglass"さらに検索を絞り込むには、次の行を追加します。
resource.labels.service_name = SERVICE_NAME resource.labels.location = LOCATION時間範囲セレクタで期間を選択します。
ログエントリ内を検索するには、[ネストされたフィールドを開く] をクリックします。
gcloud
gcloud CLI を使用して過去 1 週間のブレークグラス イベントを Cloud Logging で表示するには、次の操作を行います。
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"breakglass"'
Cloud Logging でフェイル オープン イベントをクエリする
ログ エクスプローラ
Cloud Logging のログ エクスプローラでフェイル オープン イベントを表示する方法は次のとおりです。
Cloud Audit Logs の [ログ エクスプローラ] ページに移動します。
ページの上部にあるプロジェクト セレクタで、Cloud Run を実行するプロジェクトのプロジェクト ID を選択します。
次のクエリを検索クエリボックスに入力します。
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "encountered an error"時間範囲セレクタで期間を選択します。
ログエントリ内を検索するには、[ネストされたフィールドを開く] をクリックします。
gcloud
gcloud CLI を使用して Cloud Logging で過去 1 週間のフェイル オープン イベントを表示するには、次のコマンドを実行します。
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"encountered an error"'
Cloud Logging でドライラン イベントをクエリする
ログ エクスプローラ
Cloud Logging のログ エクスプローラでドライラン イベントを表示する方法は次のとおりです。
Cloud Audit Logs の [ログ エクスプローラ] ページに移動します。
ページの上部にあるプロジェクト セレクタで、Cloud Run を実行するプロジェクトのプロジェクト ID を選択します。
次のクエリを検索クエリボックスに入力します。
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "dry run"時間範囲セレクタで期間を選択します。
ログエントリ内を検索するには、[ネストされたフィールドを開く] をクリックします。
gcloud
gcloud CLI を使用して、Cloud Logging で過去 1 週間のドライラン デプロイ イベントを表示する方法は次のとおりです。
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"dry run"'
次のステップ
Google Cloud コンソールまたはコマンドライン ツールを使用して Binary Authorization ポリシーを構成する。
証明書を使用して、署名付きのコンテナ イメージのみをデプロイする。