本页面介绍了如何为 Binary Authorization 授予与当前项目不同的 Google Cloud 项目中的政策和容器映像的访问权限。例如,如果您在不同项目拥有的 Artifact Registry 或 Container Registry(已弃用)制品库的 Google Kubernetes Engine (GKE) 集群中部署映像,则需要为项目中的 Binary Authorization 服务授予来源制品库中的映像元数据的访问权限。
术语
本文档使用以下术语:
- 服务代理:Google Cloud 管理的服务账号。Binary Authorization 使用服务代理与 Google Cloud 资源(如 GKE 集群)进行交互。
- 政策项目:包含 Binary Authorization 政策的 Google Cloud 项目。
- 集群项目::包含 GKE 集群的 Google Cloud 项目。
- 工件项目:包含 Artifact Registry 或 Container Registry(已弃用)制品库的 Google Cloud 项目。
需要跨项目访问的场景
在以下情况下,您必须授予跨项目权限:
- 政策项目与集群项目不同。
- 集群项目与工件项目不同。
准备工作
- 登录您的 Google Cloud 账号。如果您是 Google Cloud 新手,请创建一个账号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。
- 安装 Google Cloud CLI。
-
如需初始化 gcloud CLI,请运行以下命令:
gcloud init
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_IDwith a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_IDwith your Google Cloud project name.
-
-
Enable the Binary Authorization API:
gcloud services enable binaryauthorization.googleapis.com
- 安装 Google Cloud CLI。
-
如需初始化 gcloud CLI,请运行以下命令:
gcloud init
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_IDwith a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_IDwith your Google Cloud project name.
-
-
Enable the Binary Authorization API:
gcloud services enable binaryauthorization.googleapis.com
与政策项目不同的集群项目
为集群项目中的 Binary Authorization 服务代理授予政策项目的 Binary Authorization Policy Evaluator (roles/binaryauthorization.policyEvaluator) 角色。
gcloud projects add-iam-policy-bindingPOLICY_PROJECT_ID\ --member="serviceAccount:service-$(gcloud projects describeCLUSTER_PROJECT_ID--format='value(projectNumber)')@gcp-sa-binaryauthorization.iam.gserviceaccount.com" \ --role=roles/binaryauthorization.policyEvaluator
请替换以下内容:
POLICY_PROJECT_ID:包含政策的项目的 ID。CLUSTER_PROJECT_ID:集群的项目 ID。
与工件项目不同的集群项目
为集群项目中的 Binary Authorization 服务代理授予工件项目的 Artifact Registry Reader (roles/artifactregistry.reader) 角色。
gcloud projects add-iam-policy-bindingARTIFACT_PROJECT_ID\ --member="serviceAccount:service-$(gcloud projects describeCLUSTER_PROJECT_ID--format='value(projectNumber)')@gcp-sa-binaryauthorization.iam.gserviceaccount.com" \ --role=roles/artifactregistry.reader
请替换以下内容:
ARTIFACT_PROJECT_ID:包含 Artifact Registry 制品库的项目的 ID。CLUSTER_PROJECT_ID:运行 GKE 集群的项目的 ID。