La autorización binaria es un control de seguridad en el momento del despliegue que garantiza que solo se desplieguen imágenes de contenedor de confianza en tus recursos de Cloud Run. Con la autorización binaria, puedes requerir que una autoridad de confianza firme las imágenes durante el proceso de desarrollo y, después, aplicar la validación de la firma cuando se desplieguen. Al hacer esto último, tendrás un control más estricto sobre tu entorno de contenedores y te asegurarás de que solo las imágenes verificadas puedan incluirse en el proceso de compilación y lanzamiento.
Consulta cómo configurar la autorización binaria para Cloud Run.
Eximir imágenes de funciones de Cloud Run de la política de Autorización binaria
Para desplegar funciones en Cloud Run, el administrador de la política de autorización binaria debe configurar una política de autorización binaria mediante patrones de lista de permitidos para excluir todas las imágenes del repositorio especificado y sus subdirectorios.
Funciones que usan la API Admin de Cloud Run
Si vas a implementar tu función con el comando
gcloud run deploy..., usa este patrón de lista de permitidos:
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**
Con la lista de permitidos habilitada, despliega tu función con la autorización binaria habilitada
y definida como default:
gcloud run deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
Funciones que usan la API Cloud Functions v2
Si vas a implementar tu función con el comando
gcloud functions deploy..., usa este patrón de lista de permitidos:
REGION-docker.pkg.dev/PROJECT_ID/gcf-artifacts/**
Con la lista de permitidas habilitada, despliega tu función con la autorización binaria habilitada y definida como default:
gcloud functions deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
Siguientes pasos
- Consulta cómo configurar la autorización binaria para Cloud Run.