Cloud Run の Binary Authorization を必須にする

このページでは、Cloud Run にデプロイされたコンテナ イメージに Binary Authorization の適用を要求する組織のポリシーを構成する方法について説明します。適用は、プロジェクト、フォルダ、組織に要求できます。

始める前に

この制約を設定するには、組織のポリシーを変更する権限が必要です。たとえば、orgpolicy.policyAdmin ロールには組織のポリシーの制約を設定する権限があります。resourcemanager.organizationAdmin ロールには、組織のポリシーの管理者としてユーザーを追加する権限があります。組織レベルでポリシーを管理する方法の詳細については、制約の使用ページをご覧ください。 カスタム制約を使用すると、プロジェクト レベルで Binary Authorization が default に設定されるように要求できます。

組織のポリシーの設定

このセクションでは、Cloud Run にデプロイされたイメージに Binary Authorization を適用するように組織のポリシーを設定する方法について説明します。ポリシーは、 Google Cloud コンソールまたは Google Cloud CLI を使用して設定できます。

コンソール

Google Cloud コンソールを使用して組織のポリシーを設定するには、次の操作を行います。

  1. Google Cloud コンソールで、[組織のポリシー] ページに移動します。

    [組織のポリシー] に移動

  2. ページの上部にあるプロジェクト セレクタで、次の操作を行います。

    1. ポリシーを設定する組織を選択します。

      フォルダ IDプロジェクト ID をそれぞれ使用して、組織、フォルダ、プロジェクト レベルでポリシーを設定できます。詳細については、制約の使用をご覧ください。

    2. 選択を完了するには、[開く] をクリックします。

  3. [フィルタ] に次のように入力します。

    Allowed Binary Authorization Policies (Cloud Run)

  4. ポリシーの詳細を編集するには、[ポリシーの詳細] で [編集] をクリックします。

  5. [適用先] で、[カスタマイズ] をクリックします。

  6. [ポリシーの種類] が Allow に設定されていることを確認します。

組織のポリシーに必要なデフォルトの Binary Authorization ポリシーを設定する手順は次のとおりです。

  1. [カスタム値] で、テキスト フィールドに「default」と入力します。

    ポリシーの値は default に設定する必要があります。値を default に設定すると、Binary Authorization が Cloud Run サービスと同じプロジェクト内のポリシーを使用するように構成されます。

  2. この組織のポリシーを保存するには、[保存] をクリックします。

gcloud

gcloud を使用して組織のポリシーを設定する手順は次のとおりです。

gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \
  default \
  --organization=ORGANIZATION_ID

ORGANIZATION_ID は、組織の数値 ID に置き換えます。

さらに、--folder フラグまたは --project フラグ、フォルダ IDプロジェクト ID をそれぞれ使用して、フォルダやプロジェクトに対して組織のポリシーを適用することもできます。

組織のポリシーを表示する

組織のポリシーは、 Google Cloud コンソールまたは gcloud を使用して表示できます。

コンソール

  1. Google Cloud コンソールで、[組織のポリシー] ページに移動します。

    [組織のポリシー] に移動

  2. プロジェクト セレクタで、ポリシーを表示する組織を選択します。

  3. [フィルタ] に次のように入力します。

    Allowed Binary Authorization Policies (Cloud Run)

  4. 選択を完了するには、[開く] をクリックします。

  5. Allowed Binary Authorization Policies (Cloud Run) ポリシー構成を表示できます。

gcloud

組織で Cloud Run の Binary Authorization を必要とする組織のポリシーを表示するには、次のコマンドを入力します。

gcloud resource-manager org-policies describe \
  run.allowedBinaryAuthorizationPolicies \
  --effective \
  --organization=ORGANIZATION_ID

ORGANIZATION_ID は、組織の数値 ID に置き換えます。

ポリシーを元に戻す

Cloud Run が Binary Authorization を必要としないように、 Google Cloud コンソールまたは gcloud を使用してポリシーを元に戻すことができます。

コンソール

Google Cloud コンソールを使用してポリシーを元に戻すには、次の操作を行います。

  1. Google Cloud コンソールで、[組織のポリシー] ページに移動します。

    [組織のポリシー] に移動

  2. プロジェクト セレクタで、ポリシーを元に戻す組織を選択します。

  3. [フィルタ] に次のように入力します。

    Allowed Binary Authorization Policies (Cloud Run)

  4. 選択を完了するには、[開く] をクリックします。

  5. ポリシーの詳細を編集するには、[ポリシーの詳細] で [編集] をクリックします。

  6. [適用先] で、Inherit parent's policy を選択します。

  7. 組織のポリシーを保存するには、[保存] をクリックします。

gcloud

gcloud を使用してポリシーを元に戻すには、次の操作を行います。

gcloud resource-manager org-policies delete \
  run.allowedBinaryAuthorizationPolicies \
  --organization=ORGANIZATION_ID

ORGANIZATION_ID は、組織の数値 ID に置き換えます。

次の結果が返されます。

Deleted [<Empty>]

また、組織のポリシーを表示すると、[継承] が custom ではなく Inherit に設定されていて、カスタム値が設定されていないことを確認できます。

次のステップ