![为 Google Container Registry 创建细粒度的访问控制](https://linux22.com/image/1604961/%E4%B8%BA%20Google%20Container%20Registry%20%E5%88%9B%E5%BB%BA%E7%BB%86%E7%B2%92%E5%BA%A6%E7%9A%84%E8%AE%BF%E9%97%AE%E6%8E%A7%E5%88%B6.png)
我是 GCR 新手。我的用例是,我想授予push only
对 Google Container Registry (gcr) 上我的项目的特定存储桶的访问权限。
我认为,如果我想授予多个用户此访问权限并为其创建特定角色,我必须创建一个服务帐户。
我确实设法创建了一个服务帐户,假设test-service-account
,并且还为其创建了一个角色,假设test-role
。
我为该角色提供了以下权限:
- 存储桶创建
- 存储桶获取
我也将此角色应用于test-service-account
。但当我本地登录docker registry时,仍然使用
cat keyfile.json | docker login -u _json_key --password-stdin https://gcr.io
并尝试推送图像,我得到了denied: Access denied.
我错过了什么?
此外,当前方法将允许访问test-service-account
所有存储桶。有没有办法提供对单个存储桶的访问?