A autorização binária é um controle de segurança do ambiente de implantação que garante que apenas imagens de contêiner confiáveis sejam implantadas nos recursos do Cloud Run. Com esse controle, é possível solicitar que as imagens sejam assinadas por autoridades confiáveis durante o processo de desenvolvimento e, então, aplicar a validação da assinatura na implantação. Assim, você tem um controle maior sobre o ambiente de contêiner ao garantir que somente imagens verificadas sejam integradas ao processo de criação e lançamento.
Saiba como configurar a autorização binária para o Cloud Run.
Isentar imagens das funções do Cloud Run da política de autorização binária
Para implantar funções no Cloud Run, o administrador da política de autorização binária precisa configurar uma política de autorização binária usando padrões de lista de permissões para isentar todas as imagens do repositório especificado e seus subdiretórios.
Funções que usam a API Cloud Run Admin
Se você estiver implantando a função com o comando
gcloud run deploy..., use este padrão de lista de permissões:
REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/**
Com a lista de permissões ativada, implante sua função com a autorização binária ativada
e definida como default:
gcloud run deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default
Funções que usam a API Cloud Functions v2
Se você estiver implantando a função com o comando
gcloud functions deploy..., use este padrão de lista de permissões:
REGION-docker.pkg.dev/PROJECT_ID/gcf-artifacts/**
Com a lista de permissões ativada, implante sua função com a autorização binária ativada
e definida como default:
gcloud functions deploy YOUR_FUNCTION_NAME \
...
--binary-authorization default