Mit der Binärautorisierung wird die Sicherheit beim Deployment überprüft. So können Sie dafür sorgen, dass nur vertrauenswürdige Container-Images in Ihren Cloud Run-Ressourcen bereitgestellt werden. Sie können dabei festlegen, dass die Images während des Entwicklungsprozesses von vertrauenswürdigen Stellen signiert werden, und dann beim Deployment die Signaturprüfung erzwingen. Damit haben Sie eine stärkere Kontrolle über die Containerumgebung und sorgen dafür, dass nur verifizierte Images in den Build- und Release-Prozess eingebunden werden.
Informationen zum Einrichten der Binärautorisierung für Cloud Run
Images von Cloud Run-Funktionen von der Binärautorisierungsrichtlinie ausschließen
Zum Bereitstellen von Funktionen in Cloud Run muss der Administrator der Richtlinie für die Binärautorisierung diese so konfigurieren, dass alle Images aus dem angegebenen Repository und seinen Unterverzeichnissen mithilfe von Zulassungslistenmustern ausgenommen werden.
Funktionen, die die Cloud Run Admin API verwenden
Wenn Sie Ihre Funktion mit dem Befehl gcloud run deploy... bereitstellen, verwenden Sie dieses Zulassungslistenmuster:
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**
Wenn die Zulassungsliste aktiviert ist, stellen Sie die Funktion mit aktivierter Binärautorisierung und festgelegt auf default bereit:
gcloud run deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
Funktionen, die die Cloud Functions v2 API verwenden
Wenn Sie Ihre Funktion mit dem Befehl gcloud functions deploy... bereitstellen, verwenden Sie dieses Zulassungslistenmuster:
REGION-docker.pkg.dev/PROJECT_ID/gcf-artifacts/**
Wenn die Zulassungsliste aktiviert ist, stellen Sie die Funktion mit aktivierter Binärautorisierung bereit und legen Sie default fest:
gcloud functions deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default