Esta página foi traduzida pela API Cloud Translation.

Mapear papéis do IAM do Container Registry para o Artifact Registry

Neste documento, mostramos como mapear papéis do Container Registry para os papéis do Artifact Registry e aplicá-los a um repositório do Artifact Registry. É possível realizar as mesmas etapas usando o ferramenta de migração automática.

O Container Registry e o Artifact Registry usam diferentes papéis do Identity and Access Management (IAM) para controlar o acesso a imagens de contêiner armazenadas no registro.

Para ajudar na transição do Container Registry para o Artifact Registry, execute um comando da CLI do Google Cloud que:

identifica as políticas de permissão que se aplicam a um bucket de armazenamento do Cloud Storage. que armazena imagens para o Container Registry
Retorna uma política com papéis semelhantes do Artifact Registry para conceder o acesso dos usuários do Container Registry aos repositórios do Artifact Registry.

O comando usa a Análise de políticas do IAM para para analisar as políticas de permissão do IAM.

Antes de começar

Crie um repositório do Artifact Registry. Se você escolheu o método manual para a transição, siga as etapas para migrar manualmente para repositórios gcr.io no Artifact Registry ou migrar manualmente para repositórios padrão.
Enable the Cloud Asset API.
Enable the API

É necessário ativar a API no projeto ou na organização em que você quer analisar as políticas de permissão atuais.
Instale e inicialize a CLI gcloud. Para um instalação atual, atualize para a versão mais recente com o comando:
```
gcloud components update
```

Funções exigidas

Para receber as permissões necessárias para analisar políticas de permissão e conceder acesso aos repositórios do Artifact Registry, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto, na pasta ou na organização que você quer analisar para verificar as permissões:

Leitor de recursos do Cloud (roles/cloudasset.viewer)
Para analisar políticas com papéis personalizados do IAM: Leitor de papéis (roles/iam.roleViewer)
Para usar a Google Cloud CLI para analisar políticas: Consumidor do Service Usage (roles/serviceusage.serviceUsageConsumer)
Para conceder papéis em um repositório do Artifact Registry: Administrador do Artifact Registry

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para analisar políticas de permissão e conceder acesso aos repositórios do Artifact Registry. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para analisar políticas de permissão e conceder acesso aos repositórios do Artifact Registry:

cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllResources
cloudasset.assets.searchAllIamPolicies
Para analisar políticas com papéis personalizados do IAM: iam.roles.get
Para usar a Google Cloud CLI para analisar políticas: serviceusage.services.use
Para conceder papéis em um repositório do Artifact Registry: artifactregistry.repositories.setIamPolicy

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Usar a ferramenta de mapeamento

As verificações da ferramenta de mapeamento permitem políticas para um Container Registry especificado nome do host, como gcr.io.

A ferramenta verifica se há conjuntos de permissões que estão em os papéis do Cloud Storage e os associa aos papéis do Artifact Registry. Para uma comparação das permissões do Cloud Storage com os papéis do Artifact Registry, consulte Mapeamentos de papéis.

Para usar a ferramenta de mapeamento de funções:

Execute a ferramenta de mapeamento:
```
gcloud beta artifacts docker upgrade print-iam-policy HOSTNAME \
    --project=PROJECT_ID > POLICY_FILENAME
```
Substitua os seguintes valores:
- HOSTNAME é o nome do host do Container Registry que você quer a ferramenta para analisar:
  - gcr.io
  - asia.gcr.io
  - eu.gcr.io
  - us.gcr.io
- PROJECT_ID é o ID do projeto do Google Cloud. com o host de registro que você está analisando.
- POLICY_FILE é o nome do arquivo da política, no formato YAML, que a ferramenta vai retornar.
O comando de exemplo a seguir analisa o bucket de armazenamento para gcr.io no projeto my-project em busca de políticas de permissão que são aplicadas diretamente ao bucket ou são herdadas do ID da organização pai 101231231231 e seus descendentes.
```
gcloud beta artifacts docker upgrade print-iam-policy gcr.io \
    --project=my-project > gcr-io-policy.yaml
```
O comando retorna um arquivo de política no formato YAML com vinculações de função do Artifact Registry com base nas políticas de permissão atuais do bucket de armazenamento. Se o o projeto pai do bucket de armazenamento estiver em uma organização, a política inclui principais que têm acesso concedido no nível da pasta ou no nível da organização.

Por exemplo, o exemplo a seguir inclui vinculações de função do Artifact Registry para:
- Agentes de serviço do Cloud Build, Compute Engine e Container Registry. Os agentes de serviço agem em nome serviços do Google Cloud.
- A conta de usuário user@example.com
- A conta serviço gerenciado pelo usuário deploy@my-project.iam.gserviceaccount.com:
```
bindings:
- members:
  - service-3213213213213@gcp-sa-cloudbuild.iam.gserviceaccount.com
  - user:user@example.com
  role: roles/artifactregistry.repoAdmin
- members:
  - serviceAccount:deploy@my-project.iam.gserviceaccount.com
  - serviceAccount:service-1231231231231@@compute-system.iam.gserviceaccount.com
  - serviceAccount:service-1231231231231@containerregistry.iam.gserviceaccount.com
  role: roles/artifactregistry.reader
```
Remova a linha referente ao agente de serviço do Container Registry da política já que essa conta de serviço não exige acesso ao seu Artifact Registry repositórios. O sufixo do endereço de e-mail do agente de serviço é containerregistry.iam.gserviceaccount.com.

No exemplo de política da etapa anterior, a linha com o prefixo O agente de serviço do Container Registry é:
```
- serviceAccount:service-1231231231231@containerregistry.iam.gserviceaccount.com
```
Revise as outras vinculações de papéis para confirmar se elas são adequadas.

O Artifact Registry tem outros papéis predefinidos que você pode para alguns principais. Por exemplo, o administrador de repositório de Create-on-Push no Artifact Registry permite que um principal crie repositórios gcr.io no Artifact Registry, mas não permite que ele crie outros repositórios no Artifact Registry.
Adicione vinculações de papéis para os principais que estejam faltando no arquivo de política.

Os seguintes principais podem estar faltando no arquivo de política retornado:
- Titulares com funções personalizadas, e essas funções não têm os conjuntos de permissões que a ferramenta usou para mapear funções.
- Principais que receberam acesso em uma pasta ou organização pai se você não tem permissão para acessar uma pasta ou organização mãe.
Aplique as vinculações de política aos repositórios do Artifact Registry.
```
gcloud artifacts repositories set-iam-policy REPOSITORY FILENAME \
    --project=PROJECT_ID \
    --location=LOCATION
```
Substitua os seguintes valores:
- REPOSITORY é o nome do repositório.
- POLICY_FILENAME é o nome do arquivo de política que você são aplicadas ao repositório.
- PROJECT_ID é o ID do projeto.
- LOCATION é o local regional ou multirregional do repositório.
O exemplo a seguir para o projeto my-project aplica a política no arquivo gcr-io-policy.yaml ao repositório gcr.io na multirregião us:
```
gcloud artifacts repositories set-iam-policy gcr.io gcr-io-policy.yaml \
    --project=my-project \
    --location=us
```
Se quiser aplicar vinculações de papéis a um recurso de nível superior, edite o um projeto, uma pasta ou uma política da organização existente com o vinculações que você quer adicionar.

Mapeamentos de função

A tabela a seguir mostra quais papéis predefinidos do Artifact Registry devem ser concedidos para usuários do Container Registry, dependendo da Cloud Storage permissões que eles têm.

Permissões necessárias na função	Função do Artifact Registry
`storage.objects.get` `storage.objects.list`	Leitor do Artifact Registry
`storage.buckets.get` `storage.objects.get` `storage.objects.list` `storage.objects.create`	Gravador do Artifact Registry
`storage.buckets.get` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.objects.delete`	Administrador do repositório do Artifact Registry
`storage.buckets.get` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.buckets.create`	Administrador do Artifact Registry