为 Google Container Registry 创建细粒度的访问控制

为 Google Container Registry 创建细粒度的访问控制

我是 GCR 新手。我的用例是,我想授予push only对 Google Container Registry (gcr) 上我的项目的特定存储桶的访问权限。

我认为,如果我想授予多个用户此访问权限并为其创建特定角色,我必须创建一个服务帐户。

我确实设法创建了一个服务帐户,假设test-service-account,并且还为其创建了一个角色,假设test-role

我为该角色提供了以下权限:

  • 存储桶创建
  • 存储桶获取

我也将此角色应用于test-service-account。但当我本地登录docker registry时,仍然使用

cat keyfile.json | docker login -u _json_key --password-stdin https://gcr.io

并尝试推送图像,我得到了denied: Access denied.

我错过了什么?

此外,当前方法将允许访问test-service-account所有存储桶。有没有办法提供对单个存储桶的访问?

相关内容