O Container Registry e o Artifact Registry usam papéis diferentes do Identity and Access Management para controlar o acesso a imagens de contêiner armazenadas no registro.
Para ajudar na transição do Container Registry para o Artifact Registry, execute um comando da Google Cloud CLI que:
- Identifica políticas de permissão que se aplicam a um bucket de armazenamento do Cloud Storage que armazena imagens para o Container Registry
- Retorna uma política com papéis semelhantes do Artifact Registry para conceder aos usuários do Container Registry acesso aos repositórios do Artifact Registry.
O comando usa a Análise de políticas do IAM para analisar as políticas de permissão do IAM.
Antes de começar
Ative a Cloud Asset API.
Ative a API no projeto ou na organização em que você quer analisar as políticas de permissão atuais.
Instale e inicialize a CLI gcloud. Para uma instalação atual, atualize para a versão mais recente com o comando:
gcloud components update
Funções exigidas
Para ter as permissões necessárias para analisar as políticas de permissão e conceder acesso aos repositórios do Artifact Registry, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto, na pasta ou na organização que você quer analisar:
-
Leitor de recursos do Cloud (
roles/cloudasset.viewer) -
Para analisar políticas com papéis personalizados do IAM:
Leitor de papéis (
roles/iam.roleViewer) -
Para usar a Google Cloud CLI para analisar políticas:
Consumidor do Service Usage (
roles/serviceusage.serviceUsageConsumer) - Para conceder papéis em um repositório do Artifact Registry: Administrador do Artifact Registry
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Esses papéis predefinidos contêm as permissões necessárias para analisar as políticas de permissão e conceder acesso aos repositórios do Artifact Registry. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para analisar as políticas de permissão e conceder acesso aos repositórios do Artifact Registry:
-
cloudasset.assets.analyzeIamPolicy -
cloudasset.assets.searchAllResources -
cloudasset.assets.searchAllIamPolicies -
Para analisar políticas com papéis personalizados do IAM:
iam.roles.get -
Para usar a Google Cloud CLI para analisar políticas:
serviceusage.services.use -
Para conceder papéis em um repositório do Artifact Registry:
artifactregistry.repositories.setIamPolicy
Também é possível receber essas permissões com papéis personalizados ou outros papéis predefinidos.
Usar a ferramenta de mapeamento
As verificações da ferramenta de mapeamento permitem políticas para um nome de host especificado do Container Registry, como gcr.io.
A ferramenta verifica se há conjuntos de permissões que estão em papéis predefinidos do Cloud Storage e os associa aos papéis do Artifact Registry. Para uma comparação das permissões do Cloud Storage com os papéis do Artifact Registry, consulte Mapeamentos de papéis.
Para usar a ferramenta de mapeamento de funções:
Execute a ferramenta de mapeamento:
gcloud beta artifacts docker upgrade print-iam-policy HOSTNAME \ --project=PROJECT_ID > POLICY_FILENAMESubstitua os seguintes valores:
HOSTNAME é o nome do host do Container Registry que você quer que a ferramenta analise:
gcr.ioasia.gcr.ioeu.gcr.ious.gcr.io
PROJECT_ID é o ID do projeto do Google Cloud com o host de registro que você está analisando.
POLICY_FILE é o nome do arquivo da política, no formato YAML, que a ferramenta retornará.
O comando de exemplo a seguir analisa o bucket de armazenamento de
gcr.iono projetomy-projectem busca de políticas de permissão aplicadas diretamente ao bucket ou herdadas do ID da organização pai101231231231e dos descendentes dele.gcloud beta artifacts docker upgrade print-iam-policy gcr.io \ --project=my-project > gcr-io-policy.yamlO comando retorna um arquivo de política no formato YAML com vinculações de papéis do Artifact Registry, com base nas políticas de permissão do bucket de armazenamento. Se o projeto pai do bucket de armazenamento estiver em uma organização, o arquivo de política incluirá os principais com acesso concedido no nível da pasta ou da organização.
Por exemplo, o exemplo a seguir inclui vinculações de papéis do Artifact Registry para:
- Agentes de serviço do Cloud Build, Compute Engine e Container Registry. Os agentes de serviço agem em nome dos serviços do Google Cloud.
- A conta de usuário
user@example.com - A conta serviço gerenciado pelo usuário
deploy@my-project.iam.gserviceaccount.com.
bindings: - members: - service-3213213213213@gcp-sa-cloudbuild.iam.gserviceaccount.com - user:user@example.com role: roles/artifactregistry.repoAdmin - members: - serviceAccount:deploy@my-project.iam.gserviceaccount.com - serviceAccount:service-1231231231231@@compute-system.iam.gserviceaccount.com - serviceAccount:service-1231231231231@containerregistry.iam.gserviceaccount.com role: roles/artifactregistry.readerRemova a linha do agente de serviço do Container Registry do arquivo de política, já que essa conta de serviço não requer acesso aos repositórios do Artifact Registry. O sufixo do endereço de e-mail do agente de serviço é
containerregistry.iam.gserviceaccount.com.No exemplo de política da etapa anterior, a linha com o agente de serviço do Container Registry é:
- serviceAccount:service-1231231231231@containerregistry.iam.gserviceaccount.comRevise as outras vinculações de papéis para confirmar se elas são adequadas.
O Artifact Registry tem outros papéis predefinidos que você pode considerar para alguns principais. Por exemplo, o administrador de repositório de criação on-push do Artifact Registry permite que um principal crie repositórios gcr.io no Artifact Registry, mas não permite que ele crie outros repositórios do Artifact Registry.
Adicione vinculações de papéis para os principais que estejam faltando no arquivo de política.
Os seguintes principais podem estar faltando no arquivo de política retornado:
- Os principais com papéis personalizados e esses papéis personalizados não têm os conjuntos de permissões que a ferramenta usou para mapear papéis.
- Principais que receberam acesso em uma pasta ou organização pai se você não tiver permissões para visualizar uma pasta ou organização pai.
Aplique as vinculações de política aos repositórios do Artifact Registry.
gcloud artifacts repositories set-iam-policy REPOSITORY FILENAME \ --project=PROJECT_ID \ --location=LOCATIONSubstitua os seguintes valores:
- REPOSITORY é o nome do repositório.
- POLICY_FILENAME é o nome do arquivo de política que você está aplicando ao repositório.
- PROJECT_ID é o ID do projeto.
- LOCATION é o local regional ou multirregional do repositório.
O exemplo a seguir para o projeto
my-projectaplica a política no arquivogcr-io-policy.yamlao repositório chamadogcr.iona multirregiãous:gcloud artifacts repositories set-iam-policy gcr.io gcr-io-policy.yaml \ --project=my-project \ --location=usPara aplicar vinculações de papéis a um recurso de nível superior, edite o projeto, a pasta ou a política da organização com as vinculações que você quer adicionar.
Mapeamentos de funções
A tabela a seguir mostra quais papéis predefinidos do Artifact Registry precisam ser concedidos a usuários atuais do Container Registry, dependendo das permissões do Cloud Storage que eles tenham.
| Permissões necessárias na função | Papel no Artifact Registry |
|---|---|
storage.objects.getstorage.objects.list |
Leitor do Artifact Registry |
storage.buckets.getstorage.objects.getstorage.objects.liststorage.objects.create |
Gravador do Artifact Registry |
storage.buckets.getstorage.objects.getstorage.objects.liststorage.objects.createstorage.objects.delete |
Administrador de repositórios do Artifact Registry |
storage.buckets.getstorage.objects.getstorage.objects.liststorage.objects.createstorage.buckets.create |
Administrador do Artifact Registry |