Configurer une stratégie d'autorisation binaire avec Cloud Run

Ce guide de démarrage rapide explique comment configurer et tester une règle de base dans une stratégie d'autorisation binaire avec Cloud Run.

Dans ce guide de démarrage rapide, vous allez utiliser l'autorisation binaire pour contrôler le déploiement d'un service Cloud Run.

Avant de commencer

  1. Connectez-vous à votre compte Google Cloud . Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $de crédits sans frais pour exécuter, tester et déployer des charges de travail.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Installez la Google Cloud CLI.

  6. Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

  7. Pour initialiser la gcloud CLI, exécutez la commande suivante : 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Installez la Google Cloud CLI.

  12. Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

  13. Pour initialiser la gcloud CLI, exécutez la commande suivante : 

    gcloud init

Créer un service avec l'autorisation binaire activée

Pour créer un service Cloud Run avec l'autorisation binaire activée, procédez comme suit :

  1. Accédez à Cloud Run

  2. Cliquez sur Create service (Créer un service) pour afficher le formulaire correspondant.

    image

    Dans le formulaire qui s'affiche, procédez comme suit :

    1. Sélectionnez Cloud Run comme plate-forme de développement.
    2. Sélectionnez la région dans laquelle vous souhaitez créer votre service.
    3. Indiquez le nom que vous souhaitez attribuer à votre service (par exemple, test-service).

    4. Cliquez sur Suivant pour passer à la page Configurer la première révision du service.

      Dans le formulaire, procédez comme suit :

      1. Sélectionnez Déployer une révision à partir d'une image de conteneur existante.

      2. Utilisez us-docker.pkg.dev/cloudrun/container/hello comme image de conteneur.

      3. Développez la section Paramètres avancés.

      4. Cliquez sur l'onglet Security (Sécurité).

      5. Cochez la case Vérifier le déploiement du conteneur avec l'autorisation binaire.

        image

        Par défaut, la stratégie d'autorisation binaire permet le déploiement de toutes les images.

      6. Cliquez sur Suivant pour passer à la page Configurer le déclenchement du service :

        image

      7. Sélectionnez Autoriser l'accès public pour pouvoir ouvrir le résultat dans votre navigateur Web.

      8. Cliquez sur Create (Créer) pour déployer l'image sur Cloud Run, puis patientez jusqu'à la fin du déploiement.

      Votre service est déployé. Les révisions sont soumises à l'application de la stratégie d'autorisation binaire.

Mettre à jour la stratégie d'autorisation binaire pour interdire toutes les images

La stratégie d'autorisation binaire contient une règle par défaut. Cette règle régit le déploiement du service Cloud Run que vous venez de créer.

Par défaut, la règle autorise le déploiement de toutes les images de conteneurs.

Pour afficher la stratégie par défaut, procédez comme suit :

  1. Accéder à la page "Autorisation binaire"

    Capture d'écran de l'onglet Policy (Règles) affichant la règle par défaut

  2. Cliquez sur Modifier la règle.

  3. Dans Project Default Rule (Règle par défaut du projet), notez que l'option Allow All Images (Autoriser toutes les images) est sélectionnée.

    Capture d'écran de l'option permettant de choisir un type de règle par défaut

Ensuite, modifiez la stratégie pour empêcher le déploiement de toutes les images en procédant comme suit :

  1. Accédez à la page Autorisation binaire dans la console Google Cloud .

    Accéder à la page "Autorisation binaire"

  2. Cliquez sur Modifier la règle.

  3. Dans Default rule (Règle par défaut), sélectionnez Disable All Images (Interdire toutes les images).

    Capture d'écran de l'option permettant de choisir un type de règle par défaut

  4. Cliquez sur Save Policy (Enregistrer la stratégie).

Redéployer le service

Testez la stratégie mise à jour en déployant une nouvelle révision.

Pour déployer l'image, procédez comme suit :

  1. Accédez à Cloud Run

  2. Cliquez sur le nom du service que vous avez déployé précédemment dans ce guide.

  3. Cliquez sur Modifier et Déployer la nouvelle révision.

  4. Cliquez sur Déployer.

Un message d'erreur semblable au suivant apparaît :

Service update rejected by Binary Authorization policy: Revision
REVISION uses unauthorized container image. Container image 'us-docker.pkg.dev/cloudrun/container/hello@SHA' is not authorized by policy. Denied by an ALWAYS_DENY admission rule

Réinitialiser la stratégie pour autoriser toutes les images

Pour réinitialiser la stratégie afin d'autoriser toutes les images, procédez comme suit :

  1. Accédez à la page Autorisation binaire dans la console Google Cloud .

    Accéder à la page "Autorisation binaire"

  2. Cliquez sur Modifier la règle.

  3. Sélectionnez Allow All Images (Autoriser toutes les images).

  4. Pour enregistrer la règle, cliquez sur Enregistrer la règle.

Vous pouvez maintenant déployer des images.

Effectuer un nettoyage

Pour éviter que les ressources utilisées dans cette démonstration soient facturées sur votre compte Google Cloud , procédez comme suit :

Pour supprimer le service que vous avez créé dans Cloud Run, procédez comme suit :

  1. Accédez à Cloud Run

  2. Recherchez le service que vous souhaitez supprimer dans la liste des services, puis cliquez la case correspondante pour le sélectionner.

  3. Cliquez sur Supprimer pour supprimer toutes les révisions du service.

Pour désactiver l'autorisation binaire, consultez la section Désactiver l'autorisation binaire.

Étape suivante