Mapper les rôles IAM de Container Registry vers Artifact Registry

Container Registry et Artifact Registry utilisent des rôles Identity and Access Management différents pour contrôler l'accès aux images de conteneurs stockées dans le registre.

Pour vous aider à passer de Container Registry à Artifact Registry, vous pouvez exécuter une commande Google Cloud CLI qui:

• Identifie les règles d'autorisation qui s'appliquent à un bucket de stockage Cloud Storage qui stocke des images pour Container Registry.
• Renvoie une stratégie avec des rôles Artifact Registry similaires afin que vous puissiez accorder à vos utilisateurs Container Registry existants l'accès aux dépôts Artifact Registry.

La commande utilise IAM Policy Analyzer pour analyser les stratégies d'autorisation IAM.

Avant de commencer

1. Activez Cloud Asset API.

   Activer l'API

   Vous devez activer l'API dans le projet ou l'organisation où vous souhaitez analyser les règles d'autorisation existantes.

2. Installez et initialisez gcloud CLI. Pour une installation existante, installez la dernière version à l'aide de la commande suivante:

   gcloud components update
   

Rôles requis

Pour obtenir les autorisations dont vous avez besoin pour analyser les stratégies d'autorisation et accorder l'accès aux dépôts Artifact Registry, demandez à votre administrateur de vous attribuer les rôles IAM suivants sur le projet, le dossier ou l'organisation que vous souhaitez analyser:

• Lecteur d'éléments cloud (roles/cloudasset.viewer)
• Pour analyser des stratégies à l'aide de rôles IAM personnalisés : Lecteur de rôles (roles/iam.roleViewer)
• Pour analyser des règles à l'aide de la Google Cloud CLI : Consommateur de Service Usage (roles/serviceusage.serviceUsageConsumer)
• Pour attribuer des rôles dans un dépôt Artifact Registry : Administrateur Artifact Registry

Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ces rôles prédéfinis contiennent les autorisations requises pour analyser les stratégies d'autorisation et accorder l'accès aux dépôts Artifact Registry. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour analyser les règles d'autorisation et accorder l'accès aux dépôts Artifact Registry:

• cloudasset.assets.analyzeIamPolicy
• cloudasset.assets.searchAllResources
• cloudasset.assets.searchAllIamPolicies
• Pour analyser des stratégies à l'aide de rôles IAM personnalisés : iam.roles.get
• Pour analyser des règles à l'aide de la Google Cloud CLI, procédez comme suit : serviceusage.services.use
• Pour attribuer des rôles sur un dépôt Artifact Registry : artifactregistry.repositories.setIamPolicy

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Utiliser l'outil cartographique

L'outil de mappage vérifie les règles d'autorisation pour un nom d'hôte Container Registry spécifié, tel que gcr.io.

L'outil recherche les ensembles d'autorisations figurant dans les rôles Cloud Storage prédéfinis et les mappe à des rôles Artifact Registry. Pour comparer les autorisations Cloud Storage et les rôles Artifact Registry, consultez la section Mappages de rôles.

Pour utiliser l'outil de mappage de rôles:

1. Exécutez l'outil de cartographie:

   gcloud beta artifacts docker upgrade print-iam-policy HOSTNAME \
       --project=PROJECT_ID > POLICY_FILENAME
   

   Remplacez les valeurs suivantes :

   • HOSTNAME est le nom d'hôte Container Registry que l'outil doit analyser:

     • gcr.io
     • asia.gcr.io
     • eu.gcr.io
     • us.gcr.io

   • PROJECT_ID est l'ID du projet Google Cloud associé à l'hôte de registre que vous analysez.

   • POLICY_FILE est le nom de fichier de la stratégie, au format YAML, que l'outil renvoie.

   L'exemple de commande suivant analyse le bucket de stockage pour gcr.io dans le projet my-project afin de détecter les règles d'autorisation appliquées directement au bucket ou héritées de l'ID de l'organisation parente 101231231231 et de ses descendants.

   gcloud beta artifacts docker upgrade print-iam-policy gcr.io \
       --project=my-project > gcr-io-policy.yaml
   

   La commande renvoie un fichier de stratégie au format YAML avec des liaisons de rôles Artifact Registry, en fonction des stratégies d'autorisation existantes pour le bucket de stockage. Si le projet parent du bucket de stockage appartient à une organisation, le fichier de stratégie inclut les comptes principaux disposant d'un accès au niveau du dossier ou de l'organisation.

   L'exemple suivant inclut des liaisons de rôles Artifact Registry pour les éléments suivants:

   • Agents de service Cloud Build, Compute Engine et Container Registry. Les agents de service sont des comptes de service gérés par Google qui agissent pour le compte des services Google Cloud.
   • Compte utilisateur user@example.com
   • Le compte de service géré par l'utilisateur deploy@my-project.iam.gserviceaccount.com.

   bindings:
   - members:
     - service-3213213213213@gcp-sa-cloudbuild.iam.gserviceaccount.com
     - user:user@example.com
     role: roles/artifactregistry.repoAdmin
   - members:
     - serviceAccount:deploy@my-project.iam.gserviceaccount.com
     - serviceAccount:service-1231231231231@@compute-system.iam.gserviceaccount.com
     - serviceAccount:service-1231231231231@containerregistry.iam.gserviceaccount.com
     role: roles/artifactregistry.reader
   

2. Supprimez la ligne correspondant à l'agent de service Container Registry du fichier de stratégie, car ce compte de service n'a pas besoin d'accéder à vos dépôts Artifact Registry. Le suffixe de l'adresse e-mail de l'agent de service est containerregistry.iam.gserviceaccount.com.

   Dans l'exemple de stratégie de l'étape précédente, la ligne contenant l'agent de service Container Registry est la suivante:

   - serviceAccount:service-1231231231231@containerregistry.iam.gserviceaccount.com
   

3. Examinez les autres liaisons de rôles pour vérifier qu'elles sont appropriées.

   Artifact Registry comporte des rôles prédéfinis supplémentaires que vous pouvez envisager pour certains comptes principaux. Par exemple, l'administrateur de dépôt Artifact Registry autorise un compte principal à créer des dépôts gcr.io dans Artifact Registry, mais ne l'autorise pas à créer d'autres dépôts Artifact Registry.

4. Ajoutez des liaisons de rôle pour tous les comptes principaux qui ne figurent pas dans le fichier de stratégie.

   Les comptes principaux suivants ne figurent peut-être pas dans le fichier de stratégie renvoyé:

   • Les comptes principaux dotés de rôles personnalisés ne disposent pas des ensembles d'autorisations utilisés par l'outil pour mapper les rôles.
   • les comptes principaux qui ont obtenu l'accès à un dossier ou à une organisation parents si vous ne disposez pas des autorisations nécessaires pour afficher un dossier ou une organisation parents ;

5. Appliquez les liaisons de stratégie à vos dépôts Artifact Registry.

   gcloud artifacts repositories set-iam-policy REPOSITORY FILENAME \
       --project=PROJECT_ID \
       --location=LOCATION
   

   Remplacez les valeurs suivantes :

   • REPOSITORY est le nom du dépôt.
   • POLICY_FILENAME est le nom du fichier de stratégie que vous appliquez au dépôt.
   • PROJECT_ID est l'ID de projet.
   • LOCATION est l'emplacement régional ou multirégional du dépôt.

   L'exemple suivant pour le projet my-project applique la stratégie du fichier gcr-io-policy.yaml au dépôt nommé gcr.io dans l'emplacement multirégional us:

   gcloud artifacts repositories set-iam-policy gcr.io gcr-io-policy.yaml \
       --project=my-project \
       --location=us
   

   Si vous souhaitez appliquer des liaisons de rôle à une ressource de niveau supérieur, modifiez le projet, le dossier ou la règle d'administration existants avec les liaisons à ajouter.

Mappages de rôles

Le tableau suivant présente les rôles Artifact Registry prédéfinis à attribuer aux utilisateurs Container Registry existants en fonction des autorisations Cloud Storage dont ils disposent.

Autorisations requises pour le rôle	Rôle Artifact Registry
storage.objects.get storage.objects.list	Lecteur Artifact Registry
storage.buckets.get storage.objects.get storage.objects.list storage.objects.create	Rédacteur Artifact Registry
storage.buckets.get storage.objects.get storage.objects.list storage.objects.create storage.objects.delete	Administrateur de dépôts Artifact Registry
storage.buckets.get storage.objects.get storage.objects.list storage.objects.create storage.buckets.create	Administrateur Artifact Registry