Visão geral da configuração do Cloud Run

Nesta página, apresentamos uma visão geral de como configurar a autorização binária para uso com os serviços e jobs do Cloud Run.

Como as políticas de autorização binária são aplicadas ao Cloud Run

É possível definir uma política de autorização binária em serviços e jobs do Cloud Run. No entanto, a aplicação das políticas varia um pouco entre os serviços e jobs do Cloud Run.

Políticas aplicadas aos serviços do Cloud Run

Quando você define uma política de autorização binária em um serviço, o Cloud Run verifica a política sempre que você implantar uma nova revisão. Se a nova revisão não estiver em conformidade com a política, a implantação falhará. No entanto, se isso acontecer, você pode usar o recurso de acesso de emergência para ignorar a política de autorização binária e implantar uma revisão usando um contêiner que não está em conformidade.

As alterações na política de autorização binária não são aplicadas retroativamente a revisões existentes.

Políticas aplicadas a jobs do Cloud Run

Quando você define uma política de autorização binária em um job, o Cloud Run verifica a política sempre que você executa o job. Se um job tiver um contêiner que não seja compatível:

  • Ainda é possível atualizar o job.
  • A execução do job falhará. Nessas situações, use o recurso de acesso de emergência para ignorar a política de autorização binária.

As alterações na política de autorização binária não são aplicadas retroativamente às execuções em execução.

Antes de começar

Antes de usar a autorização binária para o Cloud Run, recomendamos que você configure seu ambiente do Cloud Run.

Etapas de configuração

Para configurar a autorização binária para o Cloud Run, execute estas etapas:

  1. Ative a autorização binária.
  2. Recomendado: exigir autorização binária para o Cloud Run usando uma política da organização.
  3. Ative a autorização binária para o Cloud Run.
  4. Configure a política de autorização binária.

    Você pode configurar os seguintes recursos na sua política:

    Para implantar funções no Cloud Run, o administrador da política de autorização binária deve configurar a política de autorização binária para isentar todas as imagens do repositório de REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/** e seus subdiretórios.

  5. Opcional: use o atestador built-by-cloud-build para implantar somente imagens criadas pelo Cloud Build (visualização).

  6. Opcional: use atestados.

  7. Ver a autorização binária para eventos do Cloud Run nos registros de auditoria do Cloud.