בדף הזה מוסבר איך מגדירים מדיניות ארגונית שדורשת אכיפה של Binary Authorization של תמונות קונטיינרים שנפרסות ב-Cloud Run. אפשר לדרוש אכיפה של כללי המדיניות בפרויקט, בתיקייה או בארגון.
לפני שמתחילים
כדי להגדיר את האילוץ הזה, צריכה להיות לכם הרשאה לשנות מדיניות ארגונית. לדוגמה, לתפקיד orgpolicy.policyAdmin יש הרשאה להגדיר אילוצים של מדיניות הארגון. לתפקיד resourcemanager.organizationAdmin יש הרשאה להוסיף משתמש כאדמין של מדיניות הארגון.
במאמר שימוש באילוצים מוסבר איך לנהל מדיניות ברמת הארגון.
אפשר להשתמש באילוץ בהתאמה אישית כדי לדרוש ש-Binary Authorization יוגדר ל-default ברמת הפרויקט.
הגדרת מדיניות הארגון
בקטע הזה נסביר איך מגדירים מדיניות ארגונית שתדרוש אכיפה של Binary Authorization בתמונות שנפרסות ב-Cloud Run. אפשר להגדיר את המדיניות באמצעות מסוף Google Cloud או Google Cloud CLI. Google Cloud
המסוף
כדי להגדיר את מדיניות הארגון באמצעות מסוף Google Cloud :
במסוף Google Cloud , נכנסים לדף מדיניות הארגון.
בProject Selector (בורר הפרויקטים) בחלק העליון של הדף, מבצעים את הפעולות הבאות:
בוחרים את הארגון שרוצים להגדיר עבורו את המדיניות.
אפשר להגדיר את המדיניות ברמת הארגון, התיקייה או הפרויקט באמצעות מזהה התיקייה ומזהה הפרויקט. מידע נוסף מופיע במאמר בנושא שימוש באילוצים.
כדי להשלים את הבחירה, לוחצים על פתיחה.
בקטע Filter, מזינים את הפרטים הבאים:
Allowed Binary Authorization Policies (Cloud Run)כדי לערוך את פרטי המדיניות, לוחצים על עריכה בפרטי המדיניות.
בקטע חל על, לוחצים על התאמה אישית.
מוודאים שסוג המדיניות מוגדר ל-
Allow.
כדי להגדיר את מדיניות ברירת המחדל של Binary Authorization שנדרשת על ידי מדיניות הארגון:
בשדה הטקסט שבקטע ערכים מותאמים אישית, מקלידים
default.הערך של המדיניות חייב להיות
default. הגדרת הערך ל-defaultמגדירה את Binary Authorization להשתמש במדיניות באותו פרויקט כמו שירותי Cloud Run.כדי לשמור את מדיניות הארגון הזו, לוחצים על שמירה.
gcloud
כדי להגדיר את מדיניות הארגון באמצעות gcloud:
gcloud resource-manager org-policies allow run.allowedBinaryAuthorizationPolicies \ default \ --organization=ORGANIZATION_ID
מחליפים את ORGANIZATION_ID במזהה המספרי של הארגון.
אפשר גם להחיל את מדיניות הארגון על תיקייה או על פרויקט באמצעות הדגלים --folder או --project, ומזהה התיקייה ומזהה הפרויקט, בהתאמה.
הצגת מדיניות הארגון
אפשר לראות את מדיניות הארגון באמצעות מסוף Google Cloud או gcloud.
המסוף
במסוף Google Cloud , נכנסים לדף מדיניות הארגון.
בProject Selector, בוחרים את הארגון שרוצים לראות את המדיניות שלו.
בקטע Filter, מזינים את הפרטים הבאים:
Allowed Binary Authorization Policies (Cloud Run)כדי להשלים את הבחירה, לוחצים על פתיחה.
אפשר לראות את הגדרות המדיניות.
Allowed Binary Authorization Policies (Cloud Run)
gcloud
כדי לראות את מדיניות הארגון שדורשת Binary Authorization ל-Cloud Run בארגון, מזינים את הפקודה הבאה:
gcloud resource-manager org-policies describe \ run.allowedBinaryAuthorizationPolicies \ --effective \ --organization=ORGANIZATION_ID
מחליפים את ORGANIZATION_ID במזהה המספרי של הארגון.
ביטול המדיניות
אפשר לבטל את המדיניות כך ש-Cloud Run לא ידרוש יותר אכיפה של Binary Authorization באמצעות מסוף Google Cloud או gcloud.
המסוף
כדי להחזיר את המדיניות לקדמותה באמצעות מסוף Google Cloud :
במסוף Google Cloud , נכנסים לדף מדיניות הארגון.
ברשימת הפרויקטים, בוחרים את הארגון שרוצים לבטל בו את המדיניות.
בקטע Filter, מזינים את הערכים הבאים:
Allowed Binary Authorization Policies (Cloud Run)כדי להשלים את הבחירה, לוחצים על פתיחה.
כדי לערוך את פרטי המדיניות, לוחצים על עריכה בפרטי המדיניות.
בקטע חל על, בוחרים באפשרות
Inherit parent's policy.כדי לשמור את מדיניות הארגון, לוחצים על שמירה.
gcloud
כדי להחזיר את המדיניות באמצעות gcloud:
gcloud resource-manager org-policies delete \ run.allowedBinaryAuthorizationPolicies \ --organization=ORGANIZATION_ID
מחליפים את ORGANIZATION_ID במזהה המספרי של הארגון.
הפקודה מחזירה את הפלט הבא:
Deleted [<Empty>]
לחלופין, אפשר לצפות במדיניות הארגון ולשים לב שהערך של Inheritance הוא Inherit, ולא custom, ואין ערך מותאם אישית מוגדר.
המאמרים הבאים
- הפעלת Binary Authorization בשירות Cloud Run
- פריסת שירות מוכן מראש של Cloud Run
- הגדרת מדיניות Binary Authorization