2
我正在尝试为无人机实例创建服务角色,该无人机实例构建并将Docker图像推送到Google Container Registry。需要读取/写入Google Container Registry的服务帐户的最低权限/角色是什么?
它与角色project>owner
一起工作(推测project>editor
也可以)。我一直无法找到限制它的方法,只有权限推送到GCR,或找出最小权限。
我正在尝试为无人机实例创建服务角色,该无人机实例构建并将Docker图像推送到Google Container Registry。需要读取/写入Google Container Registry的服务帐户的最低权限/角色是什么?
它与角色project>owner
一起工作(推测project>editor
也可以)。我一直无法找到限制它的方法,只有权限推送到GCR,或找出最小权限。
没有权限只允许它推到GCR。允许推送的最小权限是“存储对象创建者”。此权限还允许用户按照角色名称的建议写入Google Cloud Storage。
更新:允许推送的正确的最小权限(IAM角色)是基于当前实施的“存储管理员”。
不幸的是,当使用具有“存储>对象创建者”角色的服务密钥时,我仍然拒绝了权限。 “项目>编辑器”可以工作,但限制JSON密钥的范围会很好。 –
当您推送到GCR时,您是否需要创建一个存储桶?即在您的图片名称中,gcr.io/foo/bar:some_tag,当您尝试推送时(或者,换句话说,您的服务角色尝试过时是否已经有gcr.io/foo/some_other_image了),则是“foo”推gcr.io/foo/bar:some_tag)? – Wei
是的,回购存在。标签显然没有,但我怀疑这是否有所作为。也许我应该三重检查,因为你所说的话很有道理,所以我可能错过了一些愚蠢的东西。我可以问,你是否测试了一个服务密钥,确保它拥有这个许可,并让它推动? –