Questa guida mostra come visualizzare l'autorizzazione binaria per Cloud Run in Cloud Audit Logs.
Eventi di deployment bloccati in Cloud Logging
Esplora log
Per visualizzare gli eventi di deployment bloccati in Esplora log di Cloud Logging, procedi nel seguente modo:
Vai alla pagina Esplora log di Cloud Audit Logs:
Nel selettore dei progetti nella parte superiore della pagina, seleziona l'Google Cloud ID progetto del progetto in cui esegui Cloud Run.
Inserisci la seguente query nella casella search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"Seleziona l'intervallo di tempo nel selettore dell'intervallo di tempo.
Per cercare all'interno delle voci di log, fai clic su Espandi campi nidificati.
gcloud
Per visualizzare gli eventi di violazione delle norme dell'ultima settimana in Cloud Logging utilizzando Google Cloud CLI, segui questi passaggi:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"'
Eventi di emergenza in Cloud Logging
Breakglass ti consente di ignorare l'applicazione dei criteri di Autorizzazione binaria ed eseguire il deployment di un'immagine container che viola i criteri.
Esegui query su Cloud Logging per le revisioni con breakglass specificato
Esplora log
Per visualizzare gli eventi di emergenza in Esplora log di Cloud Logging:
Vai alla pagina Esplora log di Cloud Audit Logs:
Nel selettore di progetti nella parte superiore della pagina, seleziona l'ID progetto in cui esegui Cloud Run.
Inserisci quanto segue nella casella search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "breakglass"Per perfezionare ulteriormente la ricerca, aggiungi le seguenti righe:
resource.labels.service_name = SERVICE_NAME resource.labels.location = LOCATIONVisualizzare le implementazioni di breakglass in Cloud Logging
Seleziona l'intervallo di tempo nel selettore dell'intervallo di tempo.
Per cercare all'interno delle voci di log, fai clic su Espandi campi nidificati.
gcloud
Per visualizzare gli eventi di breakglass dell'ultima settimana in Cloud Logging utilizzando gcloud CLI, segui questi passaggi:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"breakglass"'
Eseguire query sugli eventi di fail open di Cloud Logging
Esplora log
Per visualizzare gli eventi di fail open in Esplora log di Cloud Logging, procedi nel seguente modo:
Vai alla pagina Esplora log di Cloud Audit Logs:
Nel selettore di progetti nella parte superiore della pagina, seleziona l'ID progetto in cui esegui Cloud Run.
Inserisci quanto segue nella casella search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "encountered an error"Seleziona l'intervallo di tempo nel selettore dell'intervallo di tempo.
Per cercare all'interno delle voci di log, fai clic su Espandi campi nidificati.
gcloud
Per visualizzare gli eventi di apertura in caso di errore dell'ultima settimana in Cloud Logging utilizzando gcloud CLI, procedi nel seguente modo:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"encountered an error"'
Eseguire query su Cloud Logging per gli eventi di prova
Esplora log
Per visualizzare gli eventi di prova in Esplora log di Cloud Logging:
Vai alla pagina Esplora log di Cloud Audit Logs:
Nel selettore di progetti nella parte superiore della pagina, seleziona l'ID progetto in cui esegui Cloud Run.
Inserisci quanto segue nella casella search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "dry run"Seleziona l'intervallo di tempo nel selettore dell'intervallo di tempo.
Per cercare all'interno delle voci di log, fai clic su Espandi campi nidificati.
gcloud
Per visualizzare gli eventi di deployment in modalità di prova dell'ultima settimana in Cloud Logging utilizzando gcloud CLI, segui questi passaggi:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"dry run"'
Passaggi successivi
Configura il criterio di autorizzazione binaria utilizzando la Google Cloud console o lo strumento a riga di comando.
Utilizza le attestazioni per eseguire il deployment solo delle immagini container firmate.