Diese Seite wurde von der Cloud Translation API übersetzt.

IAM-Rollen von Container Registry zu Artifact Registry zuordnen

In diesem Dokument erfahren Sie, wie Sie Container Registry-Rollen Artifact Registry-Rollen und sie auf ein Artifact Registry-Repository anwenden. Sie können dieselben Schritte mit dem automatischen Migrationstools installieren.

Container Registry und Artifact Registry verwenden zur Steuerung unterschiedliche IAM-Rollen (Identity and Access Management) Zugriff auf in der Registry gespeicherte Container-Images.

Für den Wechsel von Container Registry zu Artifact Registry können Sie Folgendes ausführen: einen Google Cloud CLI-Befehl, der:

Identifiziert Zulassungsrichtlinien, die für einen Cloud Storage-Storage-Bucket gelten zum Speichern von Images für Container Registry
Es wird eine Richtlinie mit ähnlichen Artifact Registry-Rollen zurückgegeben, damit Sie Ihren vorhandenen Container Registry-Nutzern Zugriff auf Artifact Registry-Repositories gewähren können.

Für den Befehl wird IAM Policy Analyzer verwendet, um IAM-Zulassungsrichtlinien analysieren.

Hinweise

Erstellen Sie ein Artifact Registry-Repository. Wenn Sie sich für die manuelle Methode führen Sie die folgenden Schritte aus: manuell zu gcr.io Repositories in Artifact Registry migrieren oder manuell zu Standard-Repositories migrieren.
Enable the Cloud Asset API.
Enable the API

Sie müssen die API im gewünschten Projekt oder in der gewünschten Organisation aktivieren um vorhandene Zulassungsrichtlinien zu analysieren.
Installieren und initialisieren Sie die gcloud CLI. Für eine vorhandene Installation vorhanden ist, aktualisieren Sie mit dem folgenden Befehl auf die neueste Version:
```
gcloud components update
```

Erforderliche Rollen

So erhalten Sie die erforderlichen Berechtigungen zum Analysieren von Zulassungsrichtlinien und zum Gewähren von Zugriff auf Artifact Registry-Repositories: bitten Sie Ihren Administrator, Ihnen für das Projekt, den Ordner oder die Organisation haben, nach Berechtigungen zu analysieren:

Cloud-Asset-Betrachter (roles/cloudasset.viewer)
So analysieren Sie Richtlinien mit benutzerdefinierten IAM-Rollen: Rollen-Betrachter (roles/iam.roleViewer)
So analysieren Sie mit der Google Cloud CLI Richtlinien: Service Usage Consumer (roles/serviceusage.serviceUsageConsumer)
So gewähren Sie Rollen für ein Artifact Registry-Repository: Artifact Registry-Administrator

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten Berechtigungen, die zum Analysieren von Zulassungsrichtlinien und zum Gewähren von Zugriff auf Artifact Registry-Repositories erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Zulassungsrichtlinien zu analysieren und Zugriff auf Artifact Registry-Repositories zu gewähren:

cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllResources
cloudasset.assets.searchAllIamPolicies
So analysieren Sie Richtlinien mit benutzerdefinierten IAM-Rollen: iam.roles.get
So analysieren Sie Richtlinien mit der Google Cloud CLI: serviceusage.services.use
So gewähren Sie Rollen für ein Artifact Registry-Repository: artifactregistry.repositories.setIamPolicy

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Zuordnungstool verwenden

Das Zuordnungstool prüft die zulässigen Richtlinien für eine bestimmte Container Registry Hostname, z. B. gcr.io.

Das Tool sucht nach Berechtigungssätzen in vordefinierten Cloud Storage-Rollen und Ordnen sie Artifact Registry-Rollen zu. Einen Vergleich der Cloud Storage-Berechtigungen mit Artifact Registry-Rollen finden Sie unter Rollenzuordnungen.

So verwenden Sie das Tool zur Rollenzuordnung:

Führen Sie das Mapping-Tool aus:
```
gcloud beta artifacts docker upgrade print-iam-policy HOSTNAME \
    --project=PROJECT_ID > POLICY_FILENAME
```
Ersetzen Sie die folgenden Werte:
- HOSTNAME ist der Hostname der Container Registry, die Sie analysieren möchten:
  - gcr.io
  - asia.gcr.io
  - eu.gcr.io
  - us.gcr.io
- PROJECT_ID ist die ID des Google Cloud-Projekts. mit dem Registry-Host, den Sie analysieren.
- POLICY_FILE ist der Dateiname der Richtlinie im YAML-Format, der vom Tool zurückgegeben wird.
Im folgenden Beispiel wird der Storage-Bucket für gcr.io im Projekt my-project auf „Allow“-Richtlinien geprüft, die direkt auf den Bucket angewendet oder von der übergeordneten Organisations-ID 101231231231 und ihren untergeordneten Elementen übernommen werden.
```
gcloud beta artifacts docker upgrade print-iam-policy gcr.io \
    --project=my-project > gcr-io-policy.yaml
```
Der Befehl gibt eine Richtliniendatei im YAML-Format mit Artifact Registry-Rollenbindungen zurück, die auf vorhandenen Zulassungsrichtlinien für den Speicher-Bucket basieren. Wenn sich das übergeordnete Projekt für den Speicher-Bucket in einer Organisation befindet, enthält die Richtliniendatei Hauptkonten, denen auf Ordner- oder Organisationsebene Zugriff gewährt wurde.

Das folgende Beispiel enthält beispielsweise Artifact Registry-Rollenzuweisungen für:
- Cloud Build, Compute Engine und Container Registry Dienst-Agents Dienst-Agents agieren im Namen von Google Cloud-Diensten.
- Das Nutzerkonto user@example.com
- Das vom Nutzer verwaltete Dienstkonto deploy@my-project.iam.gserviceaccount.com
```
bindings:
- members:
  - service-3213213213213@gcp-sa-cloudbuild.iam.gserviceaccount.com
  - user:user@example.com
  role: roles/artifactregistry.repoAdmin
- members:
  - serviceAccount:deploy@my-project.iam.gserviceaccount.com
  - serviceAccount:service-1231231231231@@compute-system.iam.gserviceaccount.com
  - serviceAccount:service-1231231231231@containerregistry.iam.gserviceaccount.com
  role: roles/artifactregistry.reader
```
Entfernen Sie die Zeile für den Container Registry-Dienst-Agenten aus der Richtliniendatei, da dieses Dienstkonto keinen Zugriff auf Ihre Artifact Registry-Repositories benötigt. Das Suffix der E-Mail-Adresse des Dienst-Agents lautet containerregistry.iam.gserviceaccount.com

In der Beispielrichtlinie aus dem vorherigen Schritt wird die Zeile mit dem Der Container Registry-Dienst-Agent ist:
```
- serviceAccount:service-1231231231231@containerregistry.iam.gserviceaccount.com
```
Prüfen Sie, ob die anderen Rollenbindungen angemessen sind.

Artifact Registry bietet zusätzliche vordefinierte Rollen, die Sie für einige Hauptkonten in Betracht ziehen sollten. Mit der Rolle „Artifact Registry Create-on-Push Repository Administrator“ kann ein Nutzer beispielsweise gcr.io-Repositories in Artifact Registry erstellen, aber keine anderen Artifact Registry-Repositories.
Fügen Sie allen Hauptkonten, die in der Richtliniendatei fehlen, Rollenbindungen hinzu.

Die folgenden Hauptkonten fehlen möglicherweise in der zurückgegebenen Richtliniendatei:
- Hauptkonten mit benutzerdefinierten Rollen, und diese benutzerdefinierten Rollen haben nicht die Berechtigungssätze, mit denen das Tool Rollen zugeordnet hat.
- Hauptkonten, denen Zugriff auf einen übergeordneten Ordner oder eine übergeordnete Organisation gewährt wurde, wenn Sie keine Berechtigungen zum Aufrufen eines übergeordneten Ordners oder einer übergeordneten Organisation haben.
Wenden Sie die Richtlinienbindungen auf Ihre Artifact Registry-Repositories an.
```
gcloud artifacts repositories set-iam-policy REPOSITORY FILENAME \
    --project=PROJECT_ID \
    --location=LOCATION
```
Ersetzen Sie die folgenden Werte:
- REPOSITORY ist der Name des Repositorys.
- POLICY_FILENAME ist der Name der Richtliniendatei, die Sie auf das Repository anwenden.
- PROJECT_ID ist die Projekt-ID.
- LOCATION ist der regionale oder multiregionale Speicherort für das Repository.
Im folgenden Beispiel für das Projekt my-project wird die Richtlinie in der Datei gcr-io-policy.yaml auf das Repository gcr.io in der Multi-Region us angewendet:
```
gcloud artifacts repositories set-iam-policy gcr.io gcr-io-policy.yaml \
    --project=my-project \
    --location=us
```
Wenn Sie Rollenbindungen auf eine höhere Ressource anwenden möchten, bearbeiten Sie die vorhandene Projekt-, Ordner- oder Organisationsrichtlinie mit dem Bindungen, die Sie hinzufügen möchten.

Rollenzuordnungen

Die folgende Tabelle zeigt, welche vordefinierten Artifact Registry-Rollen gewährt werden sollten vorhandenen Container Registry-Nutzer je nach Cloud Storage Berechtigungen, die sie haben.

Erforderliche Berechtigungen für die Rolle	Artifact Registry-Rolle
`storage.objects.get` `storage.objects.list`	Artifact Registry-Leser
`storage.buckets.get` `storage.objects.get` `storage.objects.list` `storage.objects.create`	Artifact Registry Writer
`storage.buckets.get` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.objects.delete`	Artifact Registry-Repository-Administrator
`storage.buckets.get` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.buckets.create`	Artifact Registry-Administrator