有没有人找到一种解决方法来拒绝用户仅以查看者角色从Google容器注册表中提取图像??? Iam策略约束尚不支持存储桶拒绝。想知道如何解决此问题,同时允许用户查看者角色查看GCP资源。
答案 0 :(得分:0)
“查看者”组的成员有权读取工件存储桶中的对象,因为它们是存储桶(默认情况下为所有新存储桶)的legacy ACL中的读取器。因此,您必须通过更改旧版ACL而不是IAM ACL来解决此问题:
将来,这可能会成为IAM控制的功能(在这种情况下,IAM custom role将是解决方案)。
答案 1 :(得分:0)
另一种解决方案是创建一个custom role。在该自定义角色中,您可以添加查看者角色中包含的所有权限,同时通过不授予specific Bucket permissions来拒绝对存储桶的访问。