L'autorizzazione binaria è un controllo di sicurezza della fase di deployment che garantisce che venga eseguito il deployment solo delle immagini container attendibili nelle risorse Cloud Run. Con Autorizzazione binaria, puoi richiedere che le immagini vengano firmate da autorità attendibili durante il processo di sviluppo e quindi applicare la convalida della firma durante il deployment. Se applichi la convalida, puoi controllare più strettamente l'ambiente dei container assicurando che solo le immagini verificate siano integrate nel processo di build e rilascio.
Scopri come configurare l'autorizzazione binaria per Cloud Run.
Esentare le immagini delle funzioni Cloud Run dal criterio di autorizzazione binaria
Per eseguire il deployment delle funzioni in Cloud Run, l'amministratore del criterio di autorizzazione binaria deve configurare un criterio di autorizzazione binaria utilizzando pattern di liste consentite per esentare tutte le immagini dal repository specificato e dalle relative sottodirectory.
Funzioni che utilizzano l'API Cloud Run Admin
Se esegui il deployment della funzione con il comando
gcloud run deploy..., utilizza questo pattern di lista consentita:
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**
Con la lista consentita abilitata, esegui il deployment della funzione con Autorizzazione binaria abilitata
e impostata su default:
gcloud run deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
Funzioni che utilizzano l'API Cloud Functions v2
Se esegui il deployment della funzione con il comando
gcloud functions deploy..., utilizza questo pattern di lista consentita:
REGION-docker.pkg.dev/PROJECT_ID/gcf-artifacts/**
Con la lista consentita attivata, esegui il deployment della funzione con Autorizzazione binaria abilitata e impostata su default:
gcloud functions deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
Passaggi successivi
- Scopri come configurare l'autorizzazione binaria per Cloud Run.