Nesta página, descrevemos as permissões para controlar o acesso ao Container Registry.
Depois de configurar as permissões, você pode configurar a autenticação para clientes do Docker que usa para enviar e extrair imagens.
Se você usa o Artifact Analysis para trabalhar com metadados de contêiner, como vulnerabilidades encontradas em imagens, consulte a documentação do Artifact Analysis para informações sobre como conceder acesso para visualização ou gerenciamento de metadados.
Antes de começar
Verifique se você tem permissões para gerenciar usuários. Você precisa ter permissões em um dos seguintes papéis:
- Administrador IAM do projeto (roles/resourcemanager.projectIamAdmin)
- Administrador de segurança (roles/iam.securityAdmin)
Como alternativa à concessão desses papéis, é possível usar um papel personalizado ou um papel predefinido com as mesmas permissões.
Permissões e papéis
Todos os usuários, contas de serviço e outras identities que interagem com o Container Registry precisam ter as permissões do Identity and Access Management (IAM) apropriadas para o Cloud Storage.
- Os serviços do Google Cloud que normalmente acessam o Container Registry são configurados com permissões padrão para registros no mesmo projeto do Google Cloud. Se as permissões padrão não atenderem às suas necessidades, configure as permissões apropriadas.
- Para outras identidades, você precisa configurar as permissões necessárias.
Você controla o acesso aos hosts do Container Registry com permissões do Cloud Storage. A tabela a seguir lista os papéis do Cloud Storage que têm as permissões exigidas pelo Container Registry.
Algumas outras permissões são necessárias ao visualizar imagens do Container Registry usando o console do Google Cloud. Consulte Permissões comuns necessárias para usar o Console do Cloud.
Acesso necessário | Papel | Onde conceder permissões |
---|---|---|
Extrair imagens (somente leitura) de um registro atual | Leitor de objetos do Storage (roles/storage.objectViewer) | Conceda o papel no bucket de armazenamento do registro. |
Enviar (gravar) imagens para e extrair (ler) imagens de um host de registro atual em um projeto | Gravador de bucket legado do Storage (roles/storage.legacyBucketWriter) | Conceda o papel no bucket de armazenamento do registro. Essa permissão só está disponível no nível do bucket. Não é possível concedê-la no nível do projeto. |
Adicione hosts de registro a projetos do Google Cloud e crie os buckets de armazenamento associados. | Administrador do Storage (roles/storage.admin) | Conceder o papel no nível do projeto |
O envio de imagens requer permissões de leitura e gravação de objetos, bem como a permissão storage.buckets.get
. Esse papel inclui as permissões necessárias em um único papel do Cloud Storage, mas não concede controle total sobre os buckets e objetos de armazenamento.
O papel Administrador do Storage concede controle total sobre buckets e objetos de armazenamento. Se você conceder essa permissão no nível do projeto, o principal terá acesso a todos os buckets de armazenamento do projeto, inclusive os que não são usados pelo Container Registry. Considere cuidadosamente quais principais exigem esse papel.
- Por padrão, a conta de serviço do Cloud Build tem permissões no papel de administrador do Storage. Portanto, essa conta de serviço pode adicionar registros ao projeto pai fazendo o primeiro envio e por push imagens para registros existentes no projeto pai.
- Se você usa o Docker ou outras ferramentas para criar e enviar imagens para um registro, considere adicionar registros ao projeto usando uma conta com o papel de administrador do Storage mais permissivo e, em seguida, conceder os papéis de Gravador de bucket legado do Storage ou Leitor de objetos do Storage a outras contas que precisam enviar ou extrair imagens.
Para mais informações sobre papéis e permissões do Cloud Storage, consulte a documentação do Cloud Storage.
Conceder permissões do IAM
O Container Registry usa intervalos do Cloud Storage como armazenamento subjacente para imagens de contêiner. Para controlar o acesso às imagens, conceda permissões ao bucket para um registro.
O primeiro envio de imagem para um nome de host adiciona o host de registro e o bucket de armazenamento dele a um projeto. Por exemplo, o primeiro envio para gcr.io/my-project
adiciona o host de registro gcr.io
ao projeto com o ID do projeto
my-project
e cria um bucket de armazenamento para o registro. O nome do bucket tem um dos seguintes formatos:
artifacts.PROJECT-ID.appspot.com
para imagens armazenadas no hostgcr.io
STORAGE-REGION.artifacts.PROJECT-ID.appspot.com
para imagens armazenadas em outros hosts de registro
Para realizar esse primeiro envio de imagem, a conta responsável pelo envio precisa ter permissões no papel de administrador do Storage.
Após o envio da imagem inicial para um host de registro, conceda permissões ao bucket de armazenamento de registro para controlar o acesso às imagens no registro:
- Gravador de bucket legado do Storage para push e pull
- Leitor de objetos do Storage para extrair apenas
É possível conceder permissão para um bucket usando o Console do Google Cloud
ou a ferramenta de linha de comando gsutil
.
Limitações e restrições
Só é possível conceder permissões no nível do bucket de armazenamento para hosts do Container Registry.
- O Container Registry ignora as permissões definidas em objetos individuais em um bucket do Cloud Storage.
- Não é possível conceder permissões nos repositórios de um registro. Caso você precise de um controle de acesso mais granular, o Artifact Registry fornece controle de acesso no nível do repositório e pode atender melhor às suas necessidades.
- Se você ativar o acesso uniforme no nível do bucket para qualquer bucket de armazenamento do Container Registry, será preciso conceder permissões explicitamente a todos os usuários e contas de serviço que acessam seus registros. Nesse caso, os papéis Proprietário e Editor por si só podem não conceder as permissões necessárias.
Conceder permissões
Se o host de registro ainda não existir no projeto, uma conta com permissões no papel de administrador do Storage precisará enviar a primeira imagem para o registro. Isso cria o bucket de armazenamento para o host de registro.
O Cloud Build tem as permissões necessárias para executar o envio da imagem inicial no mesmo projeto. Se você estiver enviando imagens com outra ferramenta, verifique as permissões da conta do Google Cloud que você está usando para autenticar com o Container Registry.
Para mais informações sobre como enviar a imagem inicial com o Docker, consulte Como adicionar um registro.
No projeto com o Container Registry, conceda as permissões apropriadas no bucket do Cloud Storage usado pelo host de registro.
Console
- Acesse a página do Cloud Storage no console do Google Cloud.
Clique no link
artifacts.PROJECT-ID.appspot.com
ouSTORAGE-REGION.artifacts.PROJECT-ID.appspot.com
para o bucket.Substitua PROJECT-ID pelo ID do projeto do Google Cloud do projeto que hospeda o Container Registry e STORAGE-REGION pela multirregião (
asia
,eu
ouus
) do registro que hospeda a imagem.Selecione a guia Permissões.
Clique em Add.
No campo Principais, insira os endereços de e-mail das contas que exigem acesso, separados por vírgulas. O endereço de e-mail pode ser:
- Uma Conta do Google (por exemplo,
someone@example.com
). - um Grupo do Google (por exemplo,
my-developer-team@googlegroups.com
); uma conta de serviço do IAM
Veja a lista de serviços do Google Cloud que normalmente acessam registros para encontrar o endereço de e-mail da conta de serviço associada. Se o serviço estiver sendo executado em um projeto diferente do Container Registry, use o endereço de e-mail da conta de serviço no outro projeto.
- Uma Conta do Google (por exemplo,
No menu suspenso Selecionar um papel, escolha a categoria do Cloud Storage e, em seguida, escolha a permissão adequada.
- Leitor de objetos do Storage para extrair apenas imagens
- Gravador de bucket legado do Storage para enviar e extrair imagens
Clique em Add.
gsutil
Execute o seguinte comando para listar os intervalos no projeto:
gsutil ls
A resposta terá esta aparência:
gs://[BUCKET_NAME1]/ gs://[BUCKET_NAME2]/ gs://[BUCKET_NAME3]/ ...
Encontre o bucket do host de registro na lista de buckets retornada. O bucket que armazena as imagens tem o nome BUCKET-NAME em um dos seguintes formatos:
artifacts.PROJECT-ID.appspot.com
para imagens armazenadas no hostgcr.io
STORAGE-REGION.artifacts.PROJECT-ID.appspot.com
para imagens armazenadas em outros hosts de registro
Onde
- PROJECT-ID é o ID do projeto do Google Cloud.
- STORAGE-REGION é o local do bucket de armazenamento:
us
para registros no hostus.gcr.io
eu
para registros no hosteu.gcr.io
asia
para registros no hostasia.gcr.io
Execute o seguinte comando no shell ou janela de terminal:
gsutil iam ch TYPE:EMAIL-ADDRESS:ROLE gs://BUCKET_NAME
Em que
- O TYPE pode ser um dos seguintes:
serviceAccount
, se EMAIL-ADDRESS especifica uma conta de serviço.user
, se EMAIL-ADDRESS for uma Conta do Google.group
, se EMAIL-ADDRESS for um Grupo do Google.
EMAIL-ADDRESS pode ser:
- Uma Conta do Google (por exemplo,
someone@example.com
). - um Grupo do Google (por exemplo,
my-developer-team@googlegroups.com
); uma conta de serviço do IAM
Veja a lista de serviços do Google Cloud que normalmente acessam registros para encontrar o endereço de e-mail da conta de serviço associada. Se o serviço estiver sendo executado em um projeto diferente do Container Registry, use o endereço de e-mail da conta de serviço no outro projeto.
- Uma Conta do Google (por exemplo,
ROLE é o papel do Cloud Storage que você quer conceder.
objectViewer
para extrair imagenslegacyBucketWriter
imagens de push e pull
BUCKET_NAME é o nome do intervalo do Cloud Storage no formato
artifacts.PROJECT-ID.appspot.com
ouSTORAGE-REGION.artifacts.PROJECT-ID.appspot.com
.
- O TYPE pode ser um dos seguintes:
Por exemplo, o comando a seguir concede à conta de serviço
my-account@my-project.iam.gserviceaccount.com
permissões para enviar e extrair imagens no bucketmy-example-bucket
:gsutil iam ch \ serviceAccount:my-account@my-project.iam.gserviceaccount.com:legacyBucketWriter \ gs://my-example-bucket
O comando
gsutil iam ch
altera as permissões de IAM do bucket de armazenamento em que o registro está hospedado. Há outros exemplos na documentação do gsutil.Se você estiver configurando o acesso a VMs do Compute Engine ou nós do GKE que enviarão imagens para o Container Registry, consulte Como configurar VMs e clusters para conhecer outras etapas de configuração.
Configurar o acesso público às imagens
O Container Registry é acessível publicamente se o bucket de armazenamento subjacente do local do host for acessível publicamente. Em um projeto, todas as imagens em cada local do host são públicas ou não. No host de um projeto, não é possível veicular publicamente apenas imagens específicas. Se você tiver imagens específicas que quer tornar públicas:
- tenha o cuidado de mantê-las em um local de host separado que você torna público ou
- Crie um novo projeto para manter as imagens acessíveis publicamente.
Para disponibilizar imagens de contêiner publicamente, torne o intervalo de armazenamento subjacente acessível publicamente seguindo estas etapas:
Você precisa ter enviado uma imagem ao Container Registry para que o bucket de armazenamento subjacente exista.
Encontre o nome do bucket do Cloud Storage para esse registro. Para fazer isso, liste os buckets:
gsutil ls
Seu URL de bucket do Container Registry será listado como
gs://artifacts.PROJECT-ID.appspot.com
ougs://STORAGE-REGION.artifacts.PROJECT-ID.appspot.com
, em que:- PROJECT-ID é o ID do projeto do Google Cloud. Os projetos com escopo de domínio terão o nome de domínio como parte do ID do projeto.
- STORAGE-REGION é o local do bucket de armazenamento:
us
para registros no hostus.gcr.io
eu
para registros no hosteu.gcr.io
asia
para registros no hostasia.gcr.io
Torne o bucket de armazenamento do Container Registry acessível ao público. Basta executar o comando a seguir, que disponibiliza ao público todas as imagens no bucket.
gsutil iam ch allUsers:objectViewer gs://BUCKET-NAME
onde:
gs://BUCKET-NAME
é o URL do bucket do Container Registry
Remover o acesso público às imagens
Console
Você precisa ter enviado uma imagem ao Container Registry para que o bucket de armazenamento subjacente exista.
Abra a página do Container Registry no console do Google Cloud.
No painel esquerdo, clique em Configurações.
Na página Configurações, em Acesso público, alterne a visibilidade para Particular. Essa configuração controla o acesso ao bucket de armazenamento subjacente.
gsutil
Encontre o nome do bucket do Cloud Storage para esse registro. Para fazer isso, liste os buckets:
gsutil ls
Seu URL de bucket do Container Registry será listado como
gs://artifacts.PROJECT-ID.appspot.com
ougs://STORAGE-REGION.artifacts.PROJECT-ID.appspot.com
, em que:- PROJECT-ID é o ID do projeto do console do Google Cloud. Os projetos com escopo de domínio terão o nome de domínio como parte do ID do projeto.
- STORAGE-REGION é o local do bucket de armazenamento:
us
para registros no hostus.gcr.io
eu
para registros no hosteu.gcr.io
asia
para registros no hostasia.gcr.io
Para remover o acesso público ao seu bucket de armazenamento, execute o seguinte comando no shell ou na janela do terminal:
gsutil iam ch -d allUsers:objectViewer gs://BUCKET-NAME
onde:
BUCKET-NAME
é o nome do bucket desejado.
Revogar permissões
Siga as etapas abaixo para revogar as permissões do IAM.
Console
- Acesse a página do Cloud Storage no console do Google Cloud.
Clique no link
artifacts.PROJECT-ID.appspot.com
ouSTORAGE-REGION.artifacts.PROJECT-ID.appspot.com
para o bucket. Aqui, PROJECT-ID é o ID do projeto do Google Cloud do projeto que hospeda o Container Registry e STORAGE-REGION é a multirregião (asia
,eu
ouus
) do registro que hospeda a imagem.Selecione a guia Permissões.
Clique no ícone da lixeira ao lado do principal que você quer remover.
gsutil
Execute o seguinte comando no shell ou janela de terminal:
gsutil iam ch -d PRINCIPAL gs://BUCKET-NAME
onde:
- O PRINCIPAL pode ser um dos seguintes:
user:EMAIL-ADDRESS
para uma Conta do GoogleserviceAccount:EMAIL-ADDRESS
para uma conta de serviço do IAMgroup:EMAIL-ADDRESS
para um Grupo do Google.allUsers
para revogar o acesso público
BUCKET-NAME
é o nome do bucket desejado.
Integrar a serviços do Google Cloud
Para a maioria das contas de serviço do Google Cloud, a configuração do acesso a um registro requer apenas a concessão das permissões apropriadas do IAM.
Permissões padrão para serviços do Google Cloud
Os serviços do Google Cloud, como o Cloud Build ou o Google Kubernetes Engine, usam uma conta de serviço padrão ou um agente de serviço para interagir com recursos dentro do mesmo projeto.
Você mesmo precisa configurar ou modificar permissões se:
- O serviço do Google Cloud está em um projeto diferente do Container Registry.
- As permissões padrão não atendem às suas necessidades. Por exemplo, a conta de serviço padrão do Compute Engine tem acesso somente leitura ao armazenamento no mesmo projeto. Se quiser enviar uma imagem da VM para um registro, modifique as permissões da conta de serviço da VM ou autentique no registro com uma conta que tenha acesso de gravação ao armazenamento.
- Você está usando uma conta de serviço personalizada para interagir com o Container Registry
As contas de serviço a seguir geralmente acessam o Container Registry. O endereço de e-mail da conta de serviço inclui o ID ou número do projeto do Google Cloud em que o serviço está sendo executado.
Serviço | Conta de serviço | Endereço de e-mail | Permissões |
---|---|---|---|
Ambiente flexível do App Engine | Conta de serviço padrão do App Engine | PROJECT-ID@appspot.gserviceaccount.com | Papel de editor, pode ler e gravar no armazenamento. |
Compute Engine | Conta de serviço padrão do Compute Engine | PROJECT-NUMBER-compute@developer.gserviceaccount.com | Papel de editor, limitado ao acesso somente leitura ao armazenamento |
Cloud Build | Conta de serviço do Cloud Build | PROJECT-NUMBER@cloudbuild.gserviceaccount.com | As permissões padrão incluem a criação de buckets de armazenamento e acesso de leitura e gravação. |
Cloud Run | Conta de serviço padrão do Compute Engine É a conta de serviço do ambiente de execução padrão para revisões. |
PROJECT-NUMBER-compute@developer.gserviceaccount.com | Papel de editor, limitado ao acesso somente leitura ao armazenamento |
GKE; | Conta de serviço padrão do Compute Engine A conta de serviço padrão para nós. |
PROJECT-NUMBER-compute@developer.gserviceaccount.com | Papel de editor, limitado ao acesso somente leitura ao armazenamento |
Configurar VMs e clusters para enviar imagens
O Compute Engine e qualquer serviço do Google Cloud que o usa tem a conta de serviço padrão do Compute Engine como identidade padrão.
As permissões do IAM e os escopos de acesso afetam a capacidade das VMs de ler e gravar no armazenamento.
- As permissões do IAM determinam o acesso aos recursos.
- Os escopos de acesso determinam os
escopos padrão do OAuth para solicitações feitas por meio da CLI gcloud e das bibliotecas
de cliente em uma instância de VM. Como resultado, os escopos de acesso podem limitar ainda mais o acesso aos métodos da API durante a autenticação com o Application Default Credentials.
- Para extrair uma imagem particular, a conta de serviço da VM precisa ter a permissão
read
para o intervalo de armazenamento da imagem. - Para enviar uma imagem particular, a conta de serviço da VM precisa ter o escopo de acesso
read-write
,cloud-platform
oufull-control
para o bucket de armazenamento da imagem.
- Para extrair uma imagem particular, a conta de serviço da VM precisa ter a permissão
A conta de serviço padrão do Compute Engine tem o papel Editor, que inclui permissões para criar e atualizar recursos para a maioria dos serviços do Google Cloud. No entanto, tanto para a conta de serviço padrão quanto para uma conta de serviço personalizada associada a uma VM, o escopo de acesso padrão dos buckets de armazenamento é somente leitura. Isso significa que, por padrão, as VMs não podem enviar imagens.
Se você pretende implantar imagens apenas em ambientes como o Compute Engine e o GKE, não é necessário modificar o escopo de acesso. Se você quiser executar aplicativos nesses ambientes que enviam imagens para o registro, faça outras configurações.
As configurações a seguir exigem alterações nas permissões do IAM ou na configuração do escopo de acesso.
- Como enviar imagens de uma VM ou cluster
- Se você quiser enviar imagens, a conta de serviço da instância de VM precisará ter o escopo
storage-rw
em vez destorage-ro
. - A VM e o Container Registry estão em projetos separados
- Você precisa conceder à conta de serviço permissões de IAM para acessar o bucket de armazenamento usado pelo Container Registry.
- Como executar comandos
gcloud
em VMs - A conta de serviço precisa ter o escopo
cloud-platform
. Esse escopo concede permissões para enviar e extrair imagens, bem como executar comandosgcloud
.
As etapas para configurar escopos estão nas seções a seguir.
Configurar escopos para VMs
Para definir escopos de acesso ao criar uma VM, use a opção --scopes.
gcloud compute instances create INSTANCE --scopes=SCOPE
Em que
- INSTANCE é o nome da instância de VM;
- SCOPE é o escopo que você quer configurar para a conta de serviço
da VM:
- Solicitar imagens:
storage-ro
- Solicitar e enviar imagens:
storage-rw
- Solicitar e enviar imagens, executar comandos gcloud:
cloud-platform
- Solicitar imagens:
Para alterar os escopos de uma instância de VM existente:
Defina o escopo de acesso com a opção --scopes.
Pare a instância de VM. Consulte Como interromper uma instância.
Altere o escopo de acesso com o comando a seguir.
gcloud compute instances set-service-account INSTANCE --scopes=SCOPE
Em que
- INSTANCE é o nome da instância de VM;
- SCOPE é o escopo que você quer configurar para a conta de serviço
da VM:
- Solicitar imagens:
storage-ro
- Solicitar e enviar imagens:
storage-rw
- Solicitar e enviar imagens, executar comandos gcloud:
cloud-platform
- Solicitar imagens:
Reinicie a instância de VM. Consulte Como iniciar uma instância interrompida.
Se você quiser usar uma conta de serviço personalizada para VMs em vez da conta de serviço padrão, especifique a conta de serviço e os escopos de acesso que serão usados ao criar a VM ou modificar as configurações da VM.
Configurar escopos para clusters do Google Kubernetes Engine
Por padrão, novos clusters do GKE são criados com permissões somente leitura para intervalos do Cloud Storage.
Para definir o escopo de armazenamento read-write
ao
criar um cluster do Google Kubernetes Engine, use a opção --scopes
.
Por exemplo, o comando a seguir cria um cluster com os escopos bigquery
, storage-rw
e compute-ro
:
gcloud container clusters create example-cluster \
--scopes=bigquery,storage-rw,compute-ro
Para mais informações sobre escopos que podem ser definidos ao criar um novo cluster, consulte a documentação do comando gcloud container clusters create.
A conta de serviço do Container Registry
O agente de serviço do Container Registry atua em nome do Container Registry ao interagir com os serviços do Google Cloud. Se você ativou a API Container Registry depois de 5 de outubro de 2020, o agente de serviço terá o conjunto mínimo de permissões necessárias. O agente de serviço tinha o papel Editor. Para mais informações sobre o agente de serviço e como modificar suas permissões, consulte Conta de serviço do Container Registry.
Faça um teste
Se você ainda não conhece o Google Cloud, crie uma conta para avaliar o desempenho do Container Registry em cenários reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
Faça uma avaliação gratuita do Container Registry