Artifact Registry ist der empfohlene Dienst zur Verwaltung von Container-Images. Container Registry wird weiterhin unterstützt, es werden jedoch nur wichtige Sicherheitsupdates bereitgestellt. Umstellung auf Artifact Registry

Zugriffssteuerung konfigurieren

Auf dieser Seite werden Berechtigungen zur Zugriffssteuerung auf Container Registry beschrieben.

Nachdem Sie die Berechtigungen konfiguriert haben, können Sie die Authentifizierung für Docker-Clients konfigurieren, die Sie zum Übertragen von Images per Push und Pull verwenden.

Wenn Sie Container Analysis verwenden, um mit Containermetadaten zu arbeiten, z. B. mit Sicherheitslücken in Images, finden Sie in der Dokumentation zu Container Analysis Informationen zum Gewähren des Zugriffs zum Aufrufen oder Verwalten von Metadaten.

Hinweis

Sie müssen die entsprechenden Berechtigungen haben. Sie benötigen Berechtigungen in einer der folgenden Rollen:

  • Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin)
  • Sicherheitsadministrator (roles/iam.securityAdmin)

Alternativ zum Zuweisen dieser Rollen können Sie eine benutzerdefinierte Rolle oder eine vordefinierte Rolle mit denselben Berechtigungen verwenden.

Berechtigungen und Rollen

Alle Nutzer, Dienstkonten und anderen Identitäten, die mit Container Registry interagieren, müssen die entsprechenden IAM-Berechtigungen (Identity and Access Management) für Cloud Storage haben.

  • Google Cloud-Dienste, die normalerweise auf Container Registry zugreifen, werden mit Standardberechtigungen für Registries im selben Google Cloud-Projekt konfiguriert. Wenn die Standardberechtigungen nicht Ihren Anforderungen entsprechen, müssen Sie die entsprechenden Berechtigungen konfigurieren.
  • Für andere Identitäten müssen Sie die erforderlichen Berechtigungen konfigurieren.

Sie steuern den Zugriff auf Container Registry-Hosts mit Cloud Storage-Berechtigungen. In der folgenden Tabelle sind die Cloud Storage-Rollen aufgeführt, die über die für Container Registry erforderlichen Berechtigungen verfügen.

Für das Aufrufen von Container Registry-Images mit der Google Cloud Console sind einige zusätzliche Berechtigungen erforderlich. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für die Verwendung der Cloud Console.

Erforderlicher Zugriff Rolle Berechtigungen erteilen
Pull-Images (schreibgeschützt) aus einer vorhandenen Registry Storage-Objekt-Betrachter (roles/storage.objectViewer) Weisen Sie die Rolle für den Registry-Storage-Bucket zu.
Images von einem vorhandenen Registry-Host in einem Projekt per Push oder Pull abrufen Autor alter Storage-Buckets (roles/storage.legacyBucketWriter) Weisen Sie die Rolle für den Registry-Storage-Bucket zu. Diese Berechtigung ist nur auf Bucket-Ebene verfügbar. Sie kann nicht auf Projektebene erteilt werden.
Fügen Sie Google Cloud-Projekten Registry-Hosts hinzu und erstellen Sie die zugehörigen Storage-Buckets. Storage-Administrator (roles/storage.admin) Rolle auf Projektebene zuweisen

Mit der Rolle "Storage-Administrator" können Sie Speicher-Buckets für ein ganzes Projekt erstellen und löschen, einschließlich Buckets, die nicht von Container Registry verwendet werden. Überlegen Sie sorgfältig, für welche Konten diese Rolle erforderlich ist.

  • Standardmäßig hat das Cloud Build-Dienstkonto Berechtigungen in der Rolle StorageStorage-Administrator“. Dieses Dienstkonto kann dem ersten Projekt daher Registries mit dem ersten Push-Vorgang hinzufügen und Images in vorhandene Registries im übergeordneten Projekt übertragen.
  • Wenn Sie Docker oder andere Tools verwenden, um Images zu erstellen und in eine Registry zu übertragen, sollten Sie Ihrem Projekt Registries mit einem Konto mit der großzügigeren Rolle "Storage-Administrator" hinzufügen und dann Storage Legacy Bucket-Autor oder Storage-Objekt-Betrachter-Rollen mit anderen Konten verknüpfen, die Images hoch- oder herunterladen müssen

Weitere Informationen zu Cloud Storage-Rollen und -Berechtigungen finden Sie in der Dokumentation zu Cloud Storage.

IAM-Berechtigungen erteilen

Container Registry verwendet Cloud Storage-Buckets als zugrunde liegenden Speicher für Container-Images. Sie steuern den Zugriff auf Ihre Images, indem Sie dem Bucket Berechtigungen für eine Registry erteilen.

Bei der ersten Image-Übertragung an einen Hostnamen werden der Registry-Host und sein Storage-Bucket einem Projekt hinzugefügt. Der erste Push auf gcr.io/my-project fügt beispielsweise den Registry-Host gcr.io dem Projekt mit der Projekt-ID my-project hinzu und erstellt einen Speicher. Bucket für die Registry Der Bucket-Name hat eines der folgenden Formate:

  • artifacts.PROJECT-ID.appspot.com für Images, die auf dem Host gcr.io gespeichert sind
  • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com für Images, die auf anderen Registry-Hosts gespeichert sind

Damit dieser erste Image-Push erfolgreich ausgeführt werden kann, muss das Konto, das den Push-Vorgang ausführt, Berechtigungen in der Rolle "Storage-Administrator" haben.

Nach der ersten Image-Übertragung an einen Registry-Host gewähren Sie dem Registry-Storage-Bucket Berechtigungen, um den Zugriff auf die Images in der Registry zu steuern:

  • Autor alter Storage-Buckets zum Übertragen und Abrufen
  • Storage-Objekt-Betrachter, um nur Pull abzurufen

Sie können Berechtigungen für einen Bucket über die Google Cloud Console oder das gsutil-Befehlszeilentool erteilen.

Limits und Einschränkungen

Sie können Berechtigungen für Container Registry-Hosts nur auf Storage-Bucket-Ebene erteilen.

  • Berechtigungen für einzelne Objekte in einem Cloud Storage-Bucket werden ignoriert.
  • Sie können keine Berechtigungen für Repositories in einer Registry gewähren. Wenn Sie eine detailliertere Zugriffssteuerung benötigen, bietet Artifact Registry eine Zugriffssteuerung auf Repository-Ebene und ist möglicherweise besser auf Ihre Anforderungen zugeschnitten.
  • Wenn Sie den einheitlichen Zugriff auf Bucket-Ebene für einen Container Registry-Storage-Bucket aktivieren, müssen Sie allen Nutzern und Dienstkonten, die auf Ihre Registries zugreifen, explizit Berechtigungen erteilen. In diesem Fall erteilen die Inhaber- und Bearbeiterrolle möglicherweise nicht die erforderlichen Berechtigungen.

Berechtigungen gewähren

  1. Wenn der Registry-Host noch nicht im Projekt vorhanden ist, muss ein Konto mit Berechtigungen in der Rolle "Storage-Administrator" das erste Image in die Registry übertragen. Dadurch wird der Storage-Bucket für den Registry-Host erstellt.

    Cloud Build verfügt über die erforderlichen Berechtigungen, um den ersten Image-Push im selben Projekt durchzuführen. Wenn Sie Images mit einem anderen Tool übertragen, prüfen Sie die Berechtigungen für das Google Cloud-Konto, das Sie für die Authentifizierung bei Container Registry verwenden.

    Weitere Informationen zum Übertragen des ersten Images mit Docker finden Sie unter Registry hinzufügen.

  2. Gewähren Sie im Projekt mit Container Registry die entsprechenden Berechtigungen für den Cloud Registry-Bucket, der vom Registry-Host verwendet wird.

    Console

    1. Rufen Sie die Cloud Storage-Seite in der Cloud Console auf.
    2. Klicken Sie auf den Link artifacts.PROJECT-ID.appspot.com oder STORAGE-REGION.artifacts.PROJECT-ID.appspot.com für den Bucket.

      Ersetzen Sie PROJECT-ID durch die Google Cloud-Projekt-ID des Projekts, das Container Registry hostet, und STORAGE-REGION durch die multiregionale ID (asia, eu oder us) der Registry, die das Image hostet.

    3. Wählen Sie den Tab Berechtigungen.

    4. Klicken Sie auf Add.

    5. Geben Sie in das Feld Mitglieder die E-Mail-Adressen der Konten, die Zugriff benötigen, durch Kommas getrennt ein. Die E-Mail-Adresse kann mit Folgendem verknüpft sein:

      • Ein Google-Konto, z. B. someone@example.com
      • eine Google-Gruppe (z. B. my-developer-team@googlegroups.com)
      • Ein IAM-Dienstkonto

        In der Liste der Google Cloud-Dienste, die normalerweise auf Registries zugreifen, finden Sie die E-Mail-Adresse des zugehörigen Dienstkontos. Wird der Dienst in einem anderen Projekt als Container Registry ausgeführt, achten Sie darauf, dass Sie die E-Mail-Adresse des Dienstkontos im anderen Projekt verwenden.

    6. Wählen Sie im Drop-down-Menü Rolle auswählen die Kategorie Cloud Storage und anschließend die entsprechende Berechtigung aus.

      • Storage-Objekt-Betrachter, um nur Images herunterzuladen
      • Autor alter Storage-Buckets zum Hoch- und Herunterladen von Images
    7. Klicken Sie auf Add.

    gsutil

    1. Führen Sie den folgenden Befehl aus, um Buckets im Projekt aufzulisten:

      gsutil ls
      

      Die Antwort sieht in etwa so aus:

      gs://[BUCKET_NAME1]/
      gs://[BUCKET_NAME2]/
      gs://[BUCKET_NAME3]/ ...
      

      Suchen Sie in der zurückgegebenen Bucket-Liste nach dem Bucket für den Registry-Host. Der Bucket, in dem Ihre Images gespeichert werden, hat den Namen BUCKET-NAME in einem der folgenden Formate:

      • artifacts.PROJECT-ID.appspot.com für Images, die auf dem Host gcr.io gespeichert sind
      • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com für Images, die auf anderen Registry-Hosts gespeichert sind

      Wo

      • PROJECT-ID ist Ihre Google Cloud-Projekt-ID.
      • STORAGE-REGION ist der Speicherort des Storage-Buckets:
        • us für Registries im Host us.gcr.io
        • eu für Registrys im Host eu.gcr.io
        • asia für Registrys im Host asia.gcr.io
    2. Führen Sie den folgenden Befehl in der Shell oder dem Terminalfenster aus:

      gsutil iam ch TYPE:EMAIL-ADDRESS:ROLE gs://BUCKET_NAME
      

      Dabei gilt:

      • TYPE kann eines der Folgenden sein:
        • serviceAccount, wenn EMAIL-ADDRESS ein Dienstkonto angibt.
        • user, wenn die EMAIL-ADDRESS ein Google-Konto ist.
        • group, wenn EMAIL-ADDRESS eine Google-Gruppe ist.
      • EMAIL-ADDRESS kann eines der Folgenden sein:

        • Ein Google-Konto, z. B. someone@example.com
        • eine Google-Gruppe (z. B. my-developer-team@googlegroups.com)
        • Ein IAM-Dienstkonto

          In der Liste der Google Cloud-Dienste, die normalerweise auf Registries zugreifen, finden Sie die E-Mail-Adresse des zugehörigen Dienstkontos. Wird der Dienst in einem anderen Projekt als Container Registry ausgeführt, achten Sie darauf, dass Sie die E-Mail-Adresse des Dienstkontos im anderen Projekt verwenden.

      • ROLE ist die Cloud Storage-Rolle, die Sie zuweisen möchten.

        • objectViewer, um Images herunterzuladen
        • legacyBucketWriter Push- und Pull-Images
      • BUCKET_NAME ist der Name des Cloud Storage-Buckets im Format artifacts.PROJECT-ID.appspot.com oder STORAGE-REGION.artifacts.PROJECT-ID.appspot.com

    Mit diesem Befehl wird dem Dienstkonto my-account@my-project.iam.gserviceaccount.com beispielsweise die Berechtigung zum Hoch- und Herunterladen von Images in den Bucket my-example-bucket gewährt:

    gsutil iam ch \
      serviceAccount:my-account@my-project.iam.gserviceaccount.com:legacyBucketWriter \
      gs://my-example-bucket
    

    Mit dem Befehl gsutil iam ch ändern Sie die IAM-Berechtigungen des Storage-Buckets, in dem die Registry gehostet wird. Weitere Beispiele finden Sie in der gsutil-Dokumentation.

  3. Wenn Sie den Zugriff für Compute Engine-VMs oder GKE-Knoten konfigurieren, die Images an Container Registry übertragen, finden Sie unter VMs und Cluster konfigurieren weitere Konfigurationsschritte.

Öffentlichen Zugriff auf Images konfigurieren

Container Registry ist öffentlich zugänglich, wenn der dem Hoststandort zugrunde liegende Storage-Bucket öffentlich zugänglich ist. Innerhalb eines Projekts sind alle Images an jedem Hoststandort entweder öffentlich oder nicht. Innerhalb des Hosts eines Projekts ist es nicht möglich, nur bestimmte Images öffentlich bereitzustellen. Wenn Sie bestimmte Images öffentlich zugänglich machen möchten:

  • legen Sie diese an einem eigenen Hoststandort ab, den Sie öffentlich freigeben, oder
  • erstellen Sie ein neues Projekt, das die öffentlich zugänglichen Images enthält.

So machen Sie den zugrunde liegenden Storage-Bucket öffentlich zugänglich, um Container-Images öffentlich bereitzustellen:

Console

  1. Prüfen Sie, ob ein Image per Push an Container Registry übertragen wurde und der zugrunde liegende Storage-Bucket vorhanden ist.

  2. Öffnen Sie in der Cloud Console die Seite Container Registry.

    Zur Seite "Container Registry"

  3. Klicken Sie im linken Bereich auf Einstellungen.

  4. Auf demEinstellungen Seite unterÖffentlicher Zugriff die Sichtbarkeit aufÖffentlich oderPrivat auf Ihrem Mobilgerät. Diese Einstellung steuert den Zugriff auf den zugrunde liegenden Storage-Bucket.

    Wenn der Host öffentlich sichtbar ist, sind alle Images in Ihrem Google Cloud-Projekt, die sich an diesem Hoststandort befinden, öffentlich zugänglich.

gsutil

  1. Prüfen Sie, ob ein Image per Push an Container Registry übertragen wurde und der zugrunde liegende Storage-Bucket vorhanden ist.

  2. Suchen Sie den Namen des Cloud Storage-Buckets für diese Registry. Listen Sie dazu die Buckets auf:

    gsutil ls
    

    Die URL des Container Registry-Buckets wird als gs://artifacts.PROJECT-ID.appspot.com oder gs://STORAGE-REGION.artifacts.PROJECT-ID.appspot.com aufgeführt. Dabei gilt:

    • PROJECT-ID ist Ihre Projekt-ID der Google Cloud Console. Auf eine Domain beschränkte Projekte enthalten den Domainnamen in der Projekt-ID.
    • STORAGE-REGION ist der Speicherort des Storage-Buckets:
      • us für Registries im Host us.gcr.io
      • eu für Registrys im Host eu.gcr.io
      • asia für Registrys im Host asia.gcr.io
  3. Machen Sie den Storage-Bucket von Container Registry mit dem folgenden Befehl öffentlich zugänglich. Dadurch werden alle Images in der Registry öffentlich zugänglich.

    gsutil iam ch allUsers:objectViewer gs://BUCKET-NAME
    

    Dabei gilt:

    • gs://BUCKET-NAME ist die URL des Container Registry-Buckets.

Wenn Container Registry öffentlich zugänglich ist, kann jeder Images daraus herunterladen. Eine Anleitung finden Sie unter Images aus einer Registry herunterladen.

Berechtigungen aufheben

Führen Sie die folgenden Schritte aus, um IAM-Berechtigungen aufzuheben.

Console

  1. Rufen Sie die Cloud Storage-Seite in der Cloud Console auf.
  2. Klicken Sie auf den Link artifacts.PROJECT-ID.appspot.com oder STORAGE-REGION.artifacts.PROJECT-ID.appspot.com für den Bucket. Hier ist PROJECT-ID die Google Cloud-Projekt-ID des Projekts, das Container Registry hostet, und STORAGE-REGION ist die Mehrfachregion (asia, eu, oder us) der Registry, in der das Image gehostet wird.

  3. Wählen Sie den Tab Berechtigungen.

  4. Klicken Sie auf das Papierkorbsymbol neben jedem Mitglied, das Sie entfernen möchten.

gsutil

Führen Sie den folgenden Befehl in der Shell oder im Terminalfenster aus:

gsutil iam ch -d MEMBER gs://BUCKET-NAME

Dabei gilt:

  • MEMBER kann eines der Folgenden sein:
    • user:EMAIL-ADDRESS für ein Google-Konto
    • serviceAccount:EMAIL-ADDRESS für ein IAM-Dienstkonto
    • group:EMAIL-ADDRESS für eine Google-Gruppe
    • allUsers für den Widerruf des öffentlichen Zugriffs
  • BUCKET-NAME ist der Name des jeweiligen Buckets.

In Google Cloud-Dienste einbinden

Bei den meisten Google Cloud-Dienstkonten müssen Sie nur die entsprechenden IAM-Berechtigungen gewähren, um den Zugriff auf eine Registry zu konfigurieren.

Standardberechtigungen für Google Cloud-Dienste

Google Cloud-Dienste wie Cloud Build oder Google Kubernetes Engine verwenden ein Standard- oder von Google verwaltetes Dienstkonto, um mit Ressourcen innerhalb desselben Projekts zu interagieren.

In folgenden Fällen müssen Sie Berechtigungen selbst konfigurieren oder ändern:

  • Der Google Cloud-Dienst befindet sich in einem anderen Projekt als Container Registry.
  • Die Standardberechtigungen entsprechen nicht Ihren Anforderungen. Beispielsweise hat das Compute Engine-Standarddienstkonto Lesezugriff auf den Speicher im selben Projekt. Wenn Sie ein Image von der VM in eine Registry verschieben möchten, müssen Sie die Berechtigungen für das VM-Dienstkonto ändern oder sich mit einem Konto authentifizieren, das Schreibzugriff auf den Speicher hat.
  • Sie verwenden ein benutzerdefiniertes Dienstkonto für die Interaktion mit Container Registry.

Die folgenden Dienstkonten greifen normalerweise auf Container Registry zu. Die E-Mail-Adresse für das Dienstkonto enthält die Google Cloud-Projekt-ID oder -Projektnummer des Projekts, in dem der Dienst ausgeführt wird.

Dienst Dienstkonto E-Mail-Adresse Berechtigungen
Flexible App Engine-Umgebung App Engine-Standarddienstkonto PROJECT-ID@appspot.gserviceaccount.com Bearbeiterrolle, Lese- und Schreibzugriff auf Speicher
Compute Engine Standardmäßiges Compute Engine-Dienstkonto PROJECT-NUMBER-compute@developer.gserviceaccount.com Rolle "Bearbeiter", auf Lesezugriff beschränkt
Cloud Build Cloud Build-Dienstkonto PROJECT-NUMBER@cloudbuild.gserviceaccount.com Standardberechtigungen umfassen das Erstellen von Storage-Buckets sowie Lese- und Schreibzugriff auf den Speicher.
Cloud Run Standardmäßiges Compute Engine-Dienstkonto
Das standardmäßige Laufzeitdienstkonto für Überarbeitungen.
PROJECT-NUMBER-compute@developer.gserviceaccount.com Rolle "Bearbeiter", auf Lesezugriff beschränkt
GKE Compute Engine-Standarddienstkonto
Das Standarddienstkonto für Knoten.
PROJECT-NUMBER-compute@developer.gserviceaccount.com Rolle "Bearbeiter", auf Lesezugriff beschränkt

VMs und Cluster zum Hochladen von Images konfigurieren

Compute Engine und alle Google Cloud-Dienste, die Compute Engine verwenden, haben das Compute Engine-Standarddienstkonto als Standardidentität.

Sowohl IAM-Berechtigungen als auch Zugriffsbereiche wirken sich auf die Fähigkeit von VMs aus, in Speicher zu lesen und zu schreiben.

  • IAM-Berechtigungen bestimmen den Zugriff auf Ressourcen.
  • Mit Zugriffsbereichen werden die standardmäßigen OAuth-Bereiche für Anfragen festgelegt, die auf der VM-Instanz über das gcloud-Tool und Clientbibliotheken erfolgen. Dies hat zur Folge, dass mit Zugriffsbereichen bei der Authentifizierung mit Standardanmeldedaten für Anwendungen der Zugriff auf API-Methoden eingeschränkt werden kann.
    • Zum Herunterladen eines privaten Images muss das VM-Dienstkonto die Berechtigung read für den Storage-Bucket des Images haben.
    • Zum Hochladen von privaten Images muss das VM-Dienstkonto den Zugriffsbereich read-write, cloud-platform oder full-control auf den Storage-Bucket des Images haben.

Das Compute Engine-Standarddienstkonto hat standardmäßig die Bearbeiterrolle, die Berechtigungen zum Erstellen und Aktualisieren von Ressourcen für die meisten Google Cloud-Dienste enthält. Bei Standard- oder benutzerdefinierten Dienstkonten, die Sie einer VM zuweisen, ist der Standardzugriffsbereich für Storage-Buckets jedoch schreibgeschützt. Dies bedeutet, dass VMs standardmäßig keine Images übertragen können.

Wenn Sie nur Images in Umgebungen wie Compute Engine und GKE bereitstellen möchten, müssen Sie den Zugriffsbereich nicht ändern. Wenn Sie Anwendungen in diesen Umgebungen ausführen möchten, die Images in die Registry übertragen, müssen Sie zusätzliche Konfigurationen vornehmen.

Bei den folgenden Konfigurationen sind Änderungen an den IAM-Berechtigungen oder der Konfiguration des Zugriffsbereiches erforderlich.

Images von einer VM oder einem Cluster herunterladen
Wenn Sie Images per Push übertragen möchten, muss das Dienstkonto der VM-Instanz den Bereich storage-rw anstelle von storage-ro haben.
Die VM und die Container Registry befinden sich in separaten Projekten
Sie müssen dem Dienstkonto mit IAM-Berechtigungen Zugriff gewähren, um auf den von Container Registry verwendeten Storage-Bucket zugreifen zu können.
gcloud-Befehle auf VMs ausführen
Das Dienstkonto muss den Bereich cloud-platform haben. Dieser Bereich gewährt Berechtigungen zum Hoch- und Herunterladen von Images sowie zum Ausführen von gcloud-Befehlen.

Die entsprechenden Schritte finden Sie in den folgenden Abschnitten.

Bereiche für VMs konfigurieren

Verwenden Sie die Option --scopes, um beim Erstellen einer VM Zugriffsbereiche festzulegen.

gcloud compute instances create INSTANCE --scopes=SCOPE

Dabei gilt:

  • INSTANCE ist der Name der VM-Instanz.
  • SCOPE ist der Bereich, den Sie für das VM-Dienstkonto konfigurieren möchten:
    • Images abrufen: storage-ro
    • Images per Pull und Push übertragen: storage-rw
    • Images hoch- und herunterladen und gcloud-Befehle ausführen: cloud-platform

So ändern Sie Bereiche für eine vorhandene VM-Instanz:

Legen Sie den Zugriffsbereich mit der Option --scopes fest.

  1. Stoppen Sie die VM-Instanz. Siehe Instanz beenden.

  2. Ändern Sie den Zugriffsbereich mit dem folgenden Befehl.

    gcloud compute instances set-service-account INSTANCE --scopes=SCOPE
    

    Dabei gilt:

    • INSTANCE ist der Name der VM-Instanz.
    • SCOPE ist der Bereich, den Sie für das VM-Dienstkonto konfigurieren möchten:
      • Images abrufen: storage-ro
      • Images per Pull und Push übertragen: storage-rw
      • Images hoch- und herunterladen und gcloud-Befehle ausführen: cloud-platform
  3. Starten Sie die VM-Instanz neu. Siehe Beendete Instanz starten.

Wenn Sie ein benutzerdefiniertes Dienstkonto für VMs anstelle des Standarddienstkontos verwenden möchten, können Sie das Dienstkonto und die Zugriffsbereiche angeben, die beim Erstellen der VM{/1 verwendet werden sollen. } oder VM-Einstellungen ändern.

Bereiche für Google Kubernetes Engine-Cluster konfigurieren

Standardmäßig werden neue GKE-Cluster mit Leseberechtigungen für Cloud Storage-Buckets erstellt.

Wenn Sie beim Erstellen eines Google Kubernetes Engine-Clusters den read-write-Speicherbereich festlegen möchten, verwenden Sie die Option --scopes. Der folgende Befehl erstellt beispielsweise einen Cluster mit den Bereichen bigquery, storage-rw und compute-ro:

gcloud container clusters create example-cluster \
--scopes=bigquery,storage-rw,compute-ro

Weitere Informationen zu Bereichen, die Sie beim Erstellen eines neuen Clusters festlegen können, finden Sie in der Dokumentation zum Befehl gcloud container clusters create.

Das Container Registry-Dienstkonto

Der Container Registry-Dienst-Agent ist ein von Google verwaltetes Dienstkonto, das bei der Interaktion mit Google Cloud-Diensten im Namen von Container Registry agiert. Das Dienstkonto hat die erforderlichen Mindestberechtigungen, wenn Sie die Container Registry API nach dem 5. Oktober 2020 aktiviert haben. Das Dienstkonto hatte zuvor die Rolle Bearbeiter. Weitere Informationen zum Konto und zum Ändern seiner Berechtigungen finden Sie unter Container Registry-Dienstkonto.

Jetzt testen

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit von Container Registry in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Container Registry kostenlos testen