L'autorisation binaire est un contrôle de sécurité intervenant au moment du déploiement qui garantit que seules des images de conteneur fiables sont déployées sur vos ressources Cloud Run. Avec l'autorisation binaire, vous pouvez exiger que toutes les images soient signées par des autorités de confiance lors du processus de développement, puis appliquer la validation de signature lors du déploiement. Grâce à cette validation, vous pouvez exercer un contrôle plus strict sur votre environnement de conteneurs en vous assurant que seules les images validées sont intégrées au processus de compilation et de déploiement.
Découvrez comment configurer l'autorisation binaire pour Cloud Run.
Exclure des images des fonctions Cloud Run de la stratégie d'autorisation binaire
Pour déployer des fonctions dans Cloud Run, l'administrateur des règles d'autorisation binaire doit configurer une règle d'autorisation binaire à l'aide de modèles de liste d'autorisation afin d'exclure toutes les images du dépôt spécifié et de ses sous-répertoires.
Fonctions utilisant l'API Cloud Run Admin
Si vous déployez votre fonction avec la commande gcloud run deploy..., utilisez ce modèle de liste d'autorisation:
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**
Une fois la liste d'autorisation activée, déployez votre fonction avec l'autorisation binaire activée et définie sur default:
gcloud run deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
Fonctions utilisant l'API Cloud Functions v2
Si vous déployez votre fonction avec la commande gcloud functions deploy..., utilisez ce modèle de liste d'autorisation:
REGION-docker.pkg.dev/PROJECT_ID/gcf-artifacts/**
Une fois la liste d'autorisation activée, déployez votre fonction avec l'autorisation binaire activée et définie sur default:
gcloud functions deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
Étape suivante
- Découvrez comment configurer l'autorisation binaire pour Cloud Run.