La autorización binaria es un control de seguridad de tiempo de implementación que garantiza que solo se implementen imágenes de contenedor confiables en tus recursos de Cloud Run. Con la autorización binaria, puedes exigir que autoridades confiables firmen las imágenes durante el proceso de desarrollo y, luego, aplicar la validación de firma obligatoria en el momento de la implementación. Si aplicas esta validación, puedes ejercer más control sobre el entorno del contenedor, ya que te aseguras de que solo se integren las imágenes verificadas en el proceso de compilación y lanzamiento.
Obtén más información para configurar la autorización binaria para Cloud Run.
Exime las imágenes de funciones de Cloud Run de la política de Autorización Binaria
Para implementar funciones en Cloud Run, el administrador de la política de Autorización Binaria debe configurar una política de Autorización Binaria con patrones de lista de entidades permitidas para eximir todas las imágenes del repositorio especificado y sus subdirectorios.
Funciones que usan la API de Cloud Run Admin
Si implementas tu función con el comando
gcloud run deploy..., usa este patrón de lista de entidades permitidas:
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**
Con la lista de entidades permitidas habilitada, implementa tu función con la Autorización Binaria habilitada y configurada como default:
gcloud run deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
Funciones que usan la API de Cloud Functions v2
Si implementas la función con el comando
gcloud functions deploy..., usa este patrón de lista de entidades permitidas:
REGION-docker.pkg.dev/PROJECT_ID/gcf-artifacts/**
Con la lista de entidades permitidas habilitada, implementa tu función con Autorización Binaria habilitada y configurada como default:
gcloud functions deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
¿Qué sigue?
- Obtén más información sobre cómo configurar la autorización binaria para Cloud Run.