使用二進位授權

二進位授權是一種部署作業期間的安全性控管機制，可確保只有受信任的容器映像檔能部署至 Cloud Run 資源。使用二進位授權之後，您就能要求映像檔在開發過程中必須由受信任的單位簽署，並在部署時強制執行簽名驗證程序。透過強制執行驗證程序，您可以確保只有通過驗證的映像檔會整合至建構與發布的程序中，藉此更嚴謹地控管容器環境。

瞭解如何為 Cloud Run 設定二進位授權。

將 Cloud Run 函式映像檔從二進位授權政策中豁免

如要在 Cloud Run 中部署函式，二進位授權政策管理員必須使用許可清單模式設定二進位授權政策，將指定存放區及其子目錄中的所有映像檔排除。

使用 Cloud Run Admin API 的函式

如果您使用 gcloud run deploy... 指令部署函式，請使用以下許可清單模式：

REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**

啟用許可清單後，請部署函式，並啟用二進位授權並設為 default：

  gcloud run deploy YOUR_FUNCTION_NAME \
    ...
    --binary-authorization default

使用 Cloud Functions v2 API 的函式

如果您使用 gcloud functions deploy... 指令部署函式，請使用以下許可清單模式：

REGION-docker.pkg.dev/PROJECT_ID/gcf-artifacts/**

啟用許可清單後，請啟用二進位授權並將其設為 default，然後部署函式：

  gcloud functions deploy YOUR_FUNCTION_NAME \
    ...
    --binary-authorization default

後續步驟

• 瞭解如何為 Cloud Run 設定二進位授權。