A autorização binária é um controlo de segurança de implementação que garante que apenas as imagens de contentores fidedignas são implementadas nos seus recursos do Cloud Run. Com a autorização binária, pode exigir que as imagens sejam assinadas por autoridades fidedignas durante o processo de desenvolvimento e, em seguida, aplicar a validação de assinatura durante a implementação. Ao aplicar a validação, pode obter um controlo mais rigoroso sobre o ambiente do contentor, garantindo que apenas as imagens validadas são integradas no processo de compilação e lançamento.
Saiba como configurar a autorização binária para o Cloud Run.
Isente imagens de funções do Cloud Run da política de autorização binária
Para implementar funções no Cloud Run, o administrador da política de autorização binária tem de configurar uma política de autorização binária com padrões de lista de autorizações para isentar todas as imagens do repositório especificado e dos respetivos subdiretórios.
Funções que usam a API Cloud Run Admin
Se estiver a implementar a sua função com o comando
gcloud run deploy..., use este padrão de lista de autorizações:
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**
Com a lista de autorizações ativada, implemente a sua função com a autorização binária ativada
e definida como default:
gcloud run deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
Funções que usam a Cloud Functions v2 API
Se estiver a implementar a sua função com o comando
gcloud functions deploy..., use este padrão de lista de autorizações:
REGION-docker.pkg.dev/PROJECT_ID/gcf-artifacts/**
Com a lista de autorizações ativada, implemente a sua função com a autorização binária ativada
e definida como default:
gcloud functions deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default