Container Registry und Artifact Registry verwenden unterschiedliche Rollen für Identity and Access Management, um den Zugriff auf Container-Images zu steuern, die in der Registry gespeichert sind.
Um die Umstellung von Container Registry auf Artifact Registry zu erleichtern, können Sie einen Google Cloud CLI-Befehl ausführen, der:
- Gibt Zulassungsrichtlinien an, die für einen Cloud Storage-Bucket gelten, in dem Images für Container Registry gespeichert sind
- Gibt eine Richtlinie mit ähnlichen Artifact Registry-Rollen zurück, sodass Sie Ihren vorhandenen Container Registry-Nutzern Zugriff auf Artifact Registry-Repositories gewähren können.
Der Befehl verwendet IAM Policy Analyzer zur Analyse von IAM-Zulassungsrichtlinien.
Hinweise
Cloud Asset API aktivieren.
Sie müssen die API in dem Projekt oder der Organisation aktivieren, in der Sie vorhandene Zulassungsrichtlinien analysieren möchten.
Installieren und initialisieren Sie die gcloud CLI. Aktualisieren Sie bei einer vorhandenen Installation mit dem folgenden Befehl auf die neueste Version:
gcloud components update
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt, den Ordner oder die Organisation zu gewähren, für die Sie Berechtigungen analysieren möchten, um die Berechtigungen zu erhalten, die Sie für die Analyse benötigen:
-
Betrachter von Cloud-Assets (
roles/cloudasset.viewer) -
So analysieren Sie Richtlinien mit benutzerdefinierten IAM-Rollen:
Rollenbetrachter (
roles/iam.roleViewer) -
So verwenden Sie die Google Cloud CLI zum Analysieren von Richtlinien:
Service Usage-Nutzer (
roles/serviceusage.serviceUsageConsumer) - So gewähren Sie Rollen für ein Artifact Registry-Repository: Artifact Registry-Administrator
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Analysieren von Zulassungsrichtlinien und zum Gewähren des Zugriffs auf Artifact Registry-Repositories erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um Zulassungsrichtlinien zu analysieren und Zugriff auf Artifact Registry-Repositories zu gewähren:
-
cloudasset.assets.analyzeIamPolicy -
cloudasset.assets.searchAllResources -
cloudasset.assets.searchAllIamPolicies -
So analysieren Sie Richtlinien mit benutzerdefinierten IAM-Rollen:
iam.roles.get -
So verwenden Sie die Google Cloud CLI zum Analysieren von Richtlinien:
serviceusage.services.use -
So weisen Sie Rollen für ein Artifact Registry-Repository zu:
artifactregistry.repositories.setIamPolicy
Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Rollenzuordnungen
Das Zuordnungstool prüft Zulassungsrichtlinien für einen angegebenen Container Registry-Hostnamen wie gcr.io.
Das Tool sucht nach Berechtigungssätzen in vordefinierten Cloud Storage-Rollen und weist sie Artifact Registry-Rollen zu:
| Erforderliche Berechtigungen in der Rolle | Artifact Registry-Rolle |
|---|---|
storage.objects.getstorage.objects.list |
Artifact Registry-Leser |
storage.buckets.getstorage.objects.getstorage.objects.liststorage.objects.create |
Artifact Registry-Autor |
storage.buckets.getstorage.objects.getstorage.objects.liststorage.objects.createstorage.objects.delete |
Artifact Registry-Repository-Administrator |
storage.buckets.getstorage.objects.getstorage.objects.liststorage.objects.createstorage.buckets.create |
Artifact Registry-Administrator |
Mapping-Tool verwenden
So verwenden Sie das Rollenzuordnungstool:
Führen Sie das Mapping-Tool aus:
gcloud beta artifacts docker upgrade print-iam-policy HOSTNAME \ --project=PROJECT_ID > POLICY_FILENAMEErsetzen Sie die folgenden Werte:
HOSTNAME ist der Container Registry-Hostname, den das Tool analysieren soll:
gcr.ioasia.gcr.ioeu.gcr.ious.gcr.io
PROJECT_ID ist die ID des Google Cloud-Projekts mit dem Registry-Host, den Sie analysieren.
POLICY_FILE ist der Dateiname für die Richtlinie im YAML-Format, die vom Tool zurückgegeben wird.
Mit dem folgenden Beispielbefehl wird der Storage-Bucket für
gcr.ioim Projektmy-projectim Hinblick auf Zulassungsrichtlinien analysiert, die direkt auf den Bucket angewendet werden oder von der ID der übergeordneten Organisation101231231231und ihren untergeordneten Elementen übernommen werden.gcloud beta artifacts docker upgrade print-iam-policy gcr.io \ --project=my-project > gcr-io-policy.yamlDer Befehl gibt eine Richtliniendatei im YAML-Format mit Artifact Registry-Rollenbindungen basierend auf vorhandenen Zulassungsrichtlinien für den Storage-Bucket zurück. Wenn sich das übergeordnete Projekt für den Storage-Bucket in einer Organisation befindet, enthält die Richtliniendatei Hauptkonten, denen Zugriff auf Ordner- oder Organisationsebene gewährt wurde.
Das folgende Beispiel enthält Artifact Registry-Rollenbindungen für:
- Dienst-Agents für Cloud Build, Compute Engine und Container Registry. Dienst-Agents sind von Google verwaltete Dienstkonten, die im Namen von Google Cloud-Diensten handeln.
- Nutzerkonto
user@example.com - Das nutzerverwaltete Dienstkonto
deploy@my-project.iam.gserviceaccount.com.
bindings: - members: - 3213213213213@cloudbuild.gserviceaccount.com - user:user@example.com role: roles/artifactregistry.repoAdmin - members: - serviceAccount:deploy@my-project.iam.gserviceaccount.com - serviceAccount:service-1231231231231@@compute-system.iam.gserviceaccount.com - serviceAccount:service-1231231231231@containerregistry.iam.gserviceaccount.com role: roles/artifactregistry.readerEntfernen Sie die Zeile für den Container Registry-Dienst-Agent aus der Richtliniendatei, da dieses Dienstkonto keinen Zugriff auf Ihre Artifact Registry-Repositories benötigt. Das Suffix der E-Mail-Adresse des Dienst-Agents ist
containerregistry.iam.gserviceaccount.com.In der Beispielrichtlinie aus dem vorherigen Schritt lautet die Zeile mit dem Container Registry-Dienst-Agent:
- serviceAccount:service-1231231231231@containerregistry.iam.gserviceaccount.comPrüfen Sie die anderen Rollenbindungen, um zu bestätigen, dass sie geeignet sind.
Artifact Registry hat zusätzliche vordefinierte Rollen, die Sie für einige Hauptkonten in Betracht ziehen sollten. Mit dem Create-on-Push-Repository-Administrator von Artifact Registry kann ein Hauptkonto beispielsweise gcr.io-Repositories in Artifact Registry erstellen, aber keine anderen Artifact Registry-Repositories erstellen.
Fügen Sie Rollenbindungen für alle Hauptkonten hinzu, die in der Richtliniendatei fehlen.
Die folgenden Hauptkonten fehlen möglicherweise in der zurückgegebenen Richtliniendatei:
- Hauptkonten mit benutzerdefinierten Rollen und diese benutzerdefinierten Rollen haben nicht die Berechtigungen, die das Tool zum Zuordnen von Rollen verwendet hat.
- Hauptkonten, denen Zugriff auf einen übergeordneten Ordner oder eine übergeordnete Organisation gewährt wurde, wenn Sie keine Berechtigungen zum Aufrufen eines übergeordneten Ordners oder einer übergeordneten Organisation haben.
Wenden Sie die Richtlinienbindungen auf Ihre Artifact Registry-Repositories an.
gcloud artifacts repositories set-iam-policy REPOSITORY FILENAME \ --project=PROJECT_ID \ --location=LOCATIONErsetzen Sie die folgenden Werte:
- REPOSITORY ist der Name des Repositorys.
- POLICY_FILENAME ist der Name der Richtliniendatei, die Sie auf das Repository anwenden.
- PROJECT_ID ist die Projekt-ID.
- LOCATION ist der regionale oder multiregionale Speicherort für das Repository.
Im folgenden Beispiel für das Projekt
my-projectwird die Richtlinie in der Dateigcr-io-policy.yamlauf das Repository mit dem Namengcr.ioam multiregionalen Standortusangewendet:gcloud artifacts repositories set-iam-policy gcr.io gcr-io-policy.yaml \ --project=my-project \ --location=usWenn Sie Rollenbindungen auf eine Ressource auf höherer Ebene anwenden möchten, bearbeiten Sie die vorhandene Projekt-, Ordner- oder Organisationsrichtlinie mit den hinzuzufügenden Bindungen.