Binary Authorization 사용

Binary Authorization은 신뢰할 수 있는 컨테이너 이미지만 Cloud Run 리소스에 배포하는 배포 시점 보안 제어입니다. Binary Authorization을 사용하면 개발 프로세스 중에 신뢰할 수 있는 기관에서 이미지에 서명해야 한 후 배포 시 서명 유효성을 검사할 수 있습니다. 유효성을 검사하면 확인된 이미지만 빌드 및 출시 프로세스에 통합되어 컨테이너 환경을 보다 확실하게 제어할 수 있습니다.

Cloud Run용 Binary Authorization 설정 방법을 알아보세요.

Binary Authorization 정책에서 Cloud Run 함수 이미지 제외

Cloud Run에서 함수를 배포하려면 Binary Authorization 정책 관리자가 허용 목록 패턴을 사용하여 지정된 저장소 및 해당 하위 디렉터리에서 모든 이미지를 제외하도록 Binary Authorization 정책을 구성해야 합니다.

Cloud Run Admin API를 사용하는 함수

gcloud run deploy... 명령어를 사용하여 함수를 배포하는 경우 다음 허용 목록 패턴을 사용합니다.

REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**

허용 목록을 사용 설정하고 Binary Authorization을 사용 설정한 상태에서 함수를 배포하고 default로 설정합니다.

  gcloud run deploy YOUR_FUNCTION_NAME \
    ...
    --binary-authorization default

Cloud Functions v2 API를 사용하는 함수

gcloud functions deploy... 명령어를 사용하여 함수를 배포하는 경우 다음 허용 목록 패턴을 사용합니다.

REGION-docker.pkg.dev/PROJECT_ID/gcf-artifacts/**

허용 목록을 사용 설정하고 Binary Authorization을 사용 설정한 상태에서 함수를 배포하고 default로 설정합니다.

  gcloud functions deploy YOUR_FUNCTION_NAME \
    ...
    --binary-authorization default

다음 단계

• Cloud Run용 Binary Authorization 설정 방법을 알아보세요.