我想在GCP上将我们的公司容器注册表配置为:
目标是避免使用latest标签-或任何其他可变标签-对新图像始终使用新的,不可变的标签。
是否存在可以实现此行为的一组IAM角色或权限?
答案 0 :(得分:0)
您不必使用IAM角色。它应该是服务帐户。 您需要创建一个服务帐户,为其设置GCR编辑器角色,下载JSON文件,然后将其发送给您的员工。
service account JSON key file是长期存在的证书,其范围仅限于特定的GCP控制台项目及其资源。
用于推送和拉取图像的服务帐户必须正确配置为具有与Container Registry交互的必需权限和访问范围。
由GCP自动创建的服务帐户(例如Container Registry服务帐户)被授予父项目的读写Editor角色。 Compute Engine默认服务帐户配置为对同一项目中的存储具有只读访问权限。您可能希望授予其他服务帐户更多特定权限。跨项目推送和拉取图像需要在与Container Registry交互的服务帐户上正确配置权限和访问范围。
有关所需服务帐户权限以及推和拉映像范围的更多信息,请参阅requirements,以将Container Registry与Google Cloud Platform结合使用。