GCP只读角色(查看者角色)允许从Google Container Registry中提取图像

时间:2018-10-10 15:55:16

标签: google-cloud-platform google-cloud-storage google-compute-engine google-container-registry

有没有人找到一种解决方法来拒绝用户仅以查看者角色从Google容器注册表中提取图像??? Iam策略约束尚不支持存储桶拒绝。想知道如何解决此问题,同时允许用户查看者角色查看GCP资源。

2 个答案:

答案 0 :(得分:0)

“查看者”组的成员有权读取工件存储桶中的对象,因为它们是存储桶(默认情况下为所有新存储桶)的legacy ACL中的读取器。因此,您必须通过更改旧版ACL而不是IAM ACL来解决此问题:

  1. 转到https://console.cloud.google.com/storage/browser?project=your-project-123
  2. 在工件存储桶上编辑存储桶权限enter image description here
  3. 从“存储旧版存储桶读取器”中删除“项目查看器:your-project-123” enter image description here

将来,这可能会成为IAM控制的功能(在这种情况下,IAM custom role将是解决方案)。

答案 1 :(得分:0)

另一种解决方案是创建一个custom role。在该自定义角色中,您可以添加查看者角色中包含的所有权限,同时通过不授予specific Bucket permissions来拒绝对存储桶的访问。