Binary Authorization הוא אמצעי בקרה לאבטחה בזמן הפריסה, שמבטיח שרק קובצי אימג' מהימנים של קונטיינרים ייפרסו במשאבי Cloud Run. באמצעות Binary Authorization, אתם יכולים לדרוש חתימה של תמונות על ידי רשויות מהימנות במהלך תהליך הפיתוח, ולאחר מכן לאכוף אימות חתימה במהלך הפריסה. אכיפת האימות מאפשרת לכם לשלוט טוב יותר בסביבת הקונטיינרים, כי רק תמונות מאומתות ישולבו בתהליך ה-build וההפצה.
איך מגדירים Binary Authorization ל-Cloud Run
החרגת אימג'ים של פונקציות Cloud Run ממדיניות Binary Authorization
כדי לפרוס פונקציות ב-Cloud Run, האדמין של מדיניות Binary Authorization צריך להגדיר מדיניות Binary Authorization באמצעות תבניות של רשימת היתרים כדי להחריג את כל התמונות מהמאגר שצוין ומתיקיות המשנה שלו.
פונקציות שמשתמשות ב-Cloud Run Admin API
אם אתם פורסים את הפונקציה באמצעות הפקודה gcloud run deploy..., אתם צריכים להשתמש בתבנית הזו של רשימת ההיתרים:
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**
כשרשימת ההיתרים מופעלת, פורסים את הפונקציה עם Binary Authorization מופעל
ומוגדר ל-default:
gcloud run deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
פונקציות באמצעות Cloud Functions v2 API
אם אתם פורסים את הפונקציה באמצעות הפקודה gcloud functions deploy..., אתם צריכים להשתמש בתבנית הזו של רשימת ההיתרים:
REGION-docker.pkg.dev/PROJECT_ID/gcf-artifacts/**
כשרשימת ההיתרים מופעלת, פורסים את הפונקציה עם Binary Authorization מופעלת ומוגדרת ל-default:
gcloud functions deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default