Configure uma política de autorização binária com o Cloud Run

Neste guia de início rápido, mostramos como configurar e testar uma regra básica em uma política de autorização binária com o Cloud Run.

Neste guia de início rápido, você usará a autorização binária para controlar a implantação de um serviço do Cloud Run.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  7. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Cloud Run, Artifact Registry, Binary Authorization APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  13. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init

    14. Criar um serviço com a autorização binária ativada

    Para criar um serviço do Cloud Run com a autorização binária ativada, faça o seguinte:

    1. Acesse o Cloud Run

    2. Clique em Criar serviço para exibir o formulário Criar serviço.

      imagem

      No formulário exibido:

      1. Selecione o Cloud Run como a plataforma de desenvolvimento.
      2. Selecione a região em que você quer que o serviço esteja localizado.
      3. Especifique o nome que você quer dar ao seu serviço, por exemplo, test-service.

      4. Clique em Avançar para acessar a página Configurar a primeira revisão do serviço.

        No formulário, siga estas etapas:

        1. Selecione Implantar uma revisão de uma imagem de contêiner atual.

        2. Use us-docker.pkg.dev/cloudrun/container/hello como a imagem do contêiner.

        3. Expanda a seção Configurações avançadas.

        4. Clique na guia Security.

        5. Marque a caixa de seleção Verificar implantação do contêiner com autorização binária:

          imagem

          Por padrão, a política de autorização binária permite que todas as imagens sejam implantadas.

        6. Clique em Avançar para acessar a página Configurar como este serviço é acionado:

          imagem

        7. Selecione Permitir acesso público para poder abrir o resultado no navegador da Web.

        8. Clique em Criar para implantar a imagem no Cloud Run e aguarde a conclusão da implantação.

        O serviço foi implantado. As revisões estão sujeitas à aplicação da política de autorização binária.

    Atualizar a política de autorização binária para proibir todas as imagens

    A política de autorização binária contém uma regra padrão. Essa regra rege a implantação do serviço do Cloud Run que você acabou de criar.

    Por padrão, a regra permite que todas as imagens de contêiner sejam implantadas.

    Para ver a política padrão, faça o seguinte:

    1. Acesse Autorização binária

      Captura de tela da guia "Política" mostrando a regra padrão

    2. Clique em Editar política.

    3. Em Regra padrão do projeto, a opção Permitir todas as imagens estará selecionada.

      Captura de tela da opção de escolher um tipo de regra padrão

    Agora, modifique a política para impedir a implantação de todas as imagens da seguinte maneira:

    1. Acesse a página Autorização binária no Google Cloud console.

      Acesse Autorização binária

    2. Clique em Editar política.

    3. Em Regra padrão, selecione Não permitir todas as imagens.

      Captura de tela da opção de escolher um tipo de regra padrão

    4. Clique em Save Policy.

    Reimplantar o serviço

    Teste a política atualizada implantando uma nova revisão.

    Para implantar a imagem:

    1. Acesse o Cloud Run

    2. Clique no nome do serviço que você implantou anteriormente neste guia.

    3. Clique em "Editar" e implante a nova revisão.

    4. Clique em Implantar.

    Será exibida uma mensagem de erro parecida com esta:

    Service update rejected by Binary Authorization policy: Revision
REVISION uses unauthorized container image. Container image 'us-docker.pkg.dev/cloudrun/container/hello@SHA' is not authorized by policy. Denied by an ALWAYS_DENY admission rule

    Redefinir a política para permitir todas as imagens

    Para redefinir a política para permitir todas as imagens, faça o seguinte:

    1. Acesse a página Autorização binária no Google Cloud console.

      Acesse Autorização binária

    2. Clique em Editar política.

    3. Selecione Permitir todas as imagens.

    4. Para salvar a política, clique em Salvar política.

    Agora é possível implantar imagens.

    Limpar

    Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga as etapas abaixo.

    Para excluir o serviço criado no Cloud Run, faça o seguinte:

    1. Acesse o Cloud Run

    2. Localize o serviço que você quer excluir na lista de serviços e clique na caixa de seleção para marcá-lo.

    3. Clique em Excluir. Isso excluirá todas as revisões do serviço.

    Para desativar a autorização binária, consulte Como desativar a autorização binária.

    A seguir