Mapper les rôles IAM de Container Registry vers Artifact Registry

Container Registry et Artifact Registry utilisent des rôles Identity and Access Management différents pour contrôler l'accès aux images de conteneurs stockées dans le registre.

Pour vous aider à passer de Container Registry à Artifact Registry, vous pouvez exécuter une commande Google Cloud CLI qui:

• Identifie les stratégies d'autorisation qui s'appliquent à un bucket de stockage Cloud Storage qui stocke des images pour Container Registry
• Renvoie une stratégie avec des rôles Artifact Registry similaires pour vous permettre d'accorder à vos utilisateurs Container Registry existants l'accès aux dépôts Artifact Registry.

La commande analyse les stratégies d'autorisation IAM à l'aide de IAM Policy Analyzer.

Avant de commencer

1. Activez Cloud Asset API.

   Activer l'API

   Vous devez activer l'API dans le projet ou l'organisation pour lesquels vous souhaitez analyser les règles d'autorisation existantes.

2. Installez et initialisez gcloud CLI. Pour une installation existante, installez la dernière version à l'aide de la commande suivante:

   gcloud components update
   

Rôles requis

Pour obtenir les autorisations nécessaires pour analyser les stratégies d'autorisation et accorder l'accès aux dépôts Artifact Registry, demandez à votre administrateur de vous attribuer les rôles IAM suivants sur le projet, le dossier ou l'organisation dont vous souhaitez vérifier les autorisations:

• Lecteur d'éléments cloud (roles/cloudasset.viewer)
• Pour analyser les stratégies avec des rôles IAM personnalisés : Lecteur de rôle (roles/iam.roleViewer)
• Pour analyser les règles à l'aide de la Google Cloud CLI : Consommateur de Service Usage (roles/serviceusage.serviceUsageConsumer)
• Pour attribuer des rôles sur un dépôt Artifact Registry : Administrateur Artifact Registry

Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ces rôles prédéfinis contiennent les autorisations requises pour analyser les règles d'autorisation et accorder l'accès aux dépôts Artifact Registry. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour analyser les règles d'autorisation et accorder l'accès aux dépôts Artifact Registry:

• cloudasset.assets.analyzeIamPolicy
• cloudasset.assets.searchAllResources
• cloudasset.assets.searchAllIamPolicies
• Pour analyser les stratégies avec des rôles IAM personnalisés : iam.roles.get
• Pour analyser les règles à l'aide de la Google Cloud CLI, procédez comme suit : serviceusage.services.use
• Pour attribuer des rôles sur un dépôt Artifact Registry : artifactregistry.repositories.setIamPolicy

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Utiliser l'outil de cartographie

L'outil de mappage vérifie les règles d'autorisation pour un nom d'hôte Container Registry spécifié, tel que gcr.io.

L'outil recherche les ensembles d'autorisations figurant dans les rôles Cloud Storage prédéfinis et les mappe à des rôles Artifact Registry. Pour comparer les autorisations Cloud Storage et les rôles Artifact Registry, consultez la section Mappages de rôles.

Pour utiliser l'outil de mappage des rôles:

1. Exécutez l'outil de mappage:

   gcloud beta artifacts docker upgrade print-iam-policy HOSTNAME \
       --project=PROJECT_ID > POLICY_FILENAME
   

   Remplacez les valeurs suivantes :

   • HOSTNAME est le nom d'hôte de Container Registry que vous souhaitez que l'outil analyse:

     • gcr.io
     • asia.gcr.io
     • eu.gcr.io
     • us.gcr.io

   • PROJECT_ID est l'ID du projet Google Cloud associé à l'hôte de registre que vous analysez.

   • POLICY_FILE est le nom de fichier de la stratégie, au format YAML, que l'outil renvoie.

   L'exemple de commande suivant analyse le bucket de stockage pour gcr.io dans le projet my-project afin de détecter les règles d'autorisation qui sont appliquées directement au bucket ou qui sont héritées de l'ID d'organisation parente 101231231231 et de ses descendants.

   gcloud beta artifacts docker upgrade print-iam-policy gcr.io \
       --project=my-project > gcr-io-policy.yaml
   

   La commande renvoie un fichier de stratégie au format YAML avec des liaisons de rôles Artifact Registry, en fonction des stratégies d'autorisation existantes pour le bucket de stockage. Si le projet parent du bucket de stockage se trouve dans une organisation, le fichier de stratégie inclut les comptes principaux dont l'accès est accordé au niveau du dossier ou de l'organisation.

   L'exemple suivant inclut des liaisons de rôles Artifact Registry pour:

   • Agents de service Cloud Build, Compute Engine et Container Registry. Les agents de service agissent pour le compte des services Google Cloud.
   • Le compte utilisateur user@example.com
   • Le compte de service géré par l'utilisateur deploy@my-project.iam.gserviceaccount.com.

   bindings:
   - members:
     - service-3213213213213@gcp-sa-cloudbuild.iam.gserviceaccount.com
     - user:user@example.com
     role: roles/artifactregistry.repoAdmin
   - members:
     - serviceAccount:deploy@my-project.iam.gserviceaccount.com
     - serviceAccount:service-1231231231231@@compute-system.iam.gserviceaccount.com
     - serviceAccount:service-1231231231231@containerregistry.iam.gserviceaccount.com
     role: roles/artifactregistry.reader
   

2. Supprimez la ligne correspondant à l'agent de service Container Registry dans le fichier de stratégie, car ce compte de service n'a pas besoin d'accéder à vos dépôts Artifact Registry. Le suffixe de l'adresse e-mail de l'agent de service est containerregistry.iam.gserviceaccount.com.

   Dans l'exemple de stratégie de l'étape précédente, la ligne contenant l'agent de service Container Registry est la suivante:

   - serviceAccount:service-1231231231231@containerregistry.iam.gserviceaccount.com
   

3. Examinez les autres liaisons de rôles pour vérifier qu'elles sont appropriées.

   Artifact Registry propose d'autres rôles prédéfinis que vous pouvez envisager d'utiliser pour certains comptes principaux. Par exemple, l'administrateur de dépôt Artifact Registry autorise un compte principal à créer des dépôts gcr.io dans Artifact Registry, mais ne l'autorise pas à créer d'autres dépôts Artifact Registry.

4. Ajoutez des liaisons de rôles pour tous les comptes principaux manquants dans le fichier de stratégie.

   Les comptes principaux suivants peuvent être manquants dans le fichier de stratégie renvoyé:

   • Les comptes principaux dotés de rôles personnalisés et ces rôles personnalisés ne disposent pas des ensembles d'autorisations que l'outil a utilisés pour mapper les rôles.
   • Comptes principaux disposant d'un accès à un dossier parent ou à une organisation si vous ne disposez pas des autorisations nécessaires pour afficher un dossier ou une organisation parent

5. Appliquez les liaisons de stratégie à vos dépôts Artifact Registry.

   gcloud artifacts repositories set-iam-policy REPOSITORY FILENAME \
       --project=PROJECT_ID \
       --location=LOCATION
   

   Remplacez les valeurs suivantes :

   • REPOSITORY est le nom du dépôt.
   • POLICY_FILENAME est le nom du fichier de stratégie que vous appliquez au dépôt.
   • PROJECT_ID est l'ID de projet.
   • LOCATION est l'emplacement régional ou multirégional du dépôt.

   Pour le projet my-project, l'exemple suivant applique la règle du fichier gcr-io-policy.yaml au dépôt nommé gcr.io dans l'emplacement multirégional us:

   gcloud artifacts repositories set-iam-policy gcr.io gcr-io-policy.yaml \
       --project=my-project \
       --location=us
   

   Si vous souhaitez appliquer des liaisons de rôle à une ressource de niveau supérieur, modifiez la règle de projet, de dossier ou d'organisation existante avec les liaisons que vous souhaitez ajouter.

Mappages de rôles

Le tableau suivant indique les rôles Artifact Registry prédéfinis à attribuer aux utilisateurs de Container Registry existants en fonction des autorisations Cloud Storage dont ils disposent.

Autorisations requises dans le rôle	Rôle Artifact Registry
storage.objects.get storage.objects.list	Lecteur Artifact Registry
storage.buckets.get storage.objects.get storage.objects.list storage.objects.create	Rédacteur Artifact Registry
storage.buckets.get storage.objects.get storage.objects.list storage.objects.create storage.objects.delete	Administrateur de dépôt Artifact Registry
storage.buckets.get storage.objects.get storage.objects.list storage.objects.create storage.buckets.create	Administrateur Artifact Registry