无法对Google管理的容器注册表帐户使用更精细的角色-service- [PROJECT_NUMBER] @ containerregistry.iam.gserviceaccount.com。不知道是否有人可以对此进行解释。
默认情况下,当您启用Google容器注册表API时,默认情况下会为该服务帐户分配一个原始角色“编辑器”,并且您无法将其更改为诸如cloudbuild.gserviceaccount.com之类的更细粒度的内容
Google关于cloudbuild的文档 https://cloud.google.com/cloud-build/docs/securing-builds/set-service-account-permissions
但是关于容器注册表的信息不多 https://cloud.google.com/container-registry/docs/overview
GCR服务帐户使用了我们的合规工具担任编辑者角色。仅GCR访问权限太高。