Artifact Registry es el servicio recomendado para administrar imágenes de contenedor. Container Registry sigue siendo compatible, pero solo recibirá correcciones de seguridad críticas. Obtén más información sobre la transición a Artifact Registry.

Control de acceso con IAM

En esta página, se describen los permisos para controlar el acceso a Container Registry.

Después de configurar los permisos, puedes configurar la autenticación para los clientes de Docker que usas para enviar y extraer imágenes.

Si usas Container Analysis para trabajar con metadatos de contenedores, como vulnerabilidades que se encuentran en las imágenes, consulta la documentación de Container Analysis a fin de obtener información sobre cómo otorgar acceso para ver o administrar metadatos.

Antes de comenzar

Verifica que tengas permisos para administrar usuarios. Debes tener permisos en una de las siguientes funciones:

  • Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin)
  • Administrador de seguridad (roles/iam.securityAdmin)

Como alternativa a otorgar estas funciones, puedes usar una función personalizada o una función predefinida con los mismos permisos.

Permisos y funciones

Todos los usuarios, cuentas de servicio y otras identidades que interactúan con Container Registry deben tener los permisos adecuados de administración de identidades y accesos (IAM) para Cloud Storage.

  • Los servicios de Google Cloud que suelen acceder a Container Registry están configurados con permisos predeterminados para los registros en el mismo proyecto de Google Cloud. Si los permisos predeterminados no satisfacen tus necesidades, debes configurar los permisos adecuados.
  • Para otras identidades, debes configurar los permisos necesarios.

Puedes controlar el acceso a los hosts de Container Registry con los permisos de Cloud Storage. En la siguiente tabla, se enumeran las funciones de Cloud Storage que tienen los permisos que requiere Container Registry.

Algunos permisos adicionales son necesarios cuando se visualizan imágenes de Container Registry mediante Google Cloud Console. Consulta Permisos comunes necesarios para usar Cloud Console.

Acceso necesario Rol Dónde otorgar permisos
Extrae imágenes (solo lectura) de un registro existente Visualizador de objetos de almacenamiento (roles/storage.objectViewer) Otorga la función en el bucket de almacenamiento del registro.
Envía (escribe) imágenes a un host de registro existente en un proyecto y las extrae (lee) del proyecto Escritor de depósitos heredados de almacenamiento (roles/storage.legacyBucketWriter) Otorga la función en el bucket de almacenamiento del registro. Este permiso solo está disponible a nivel de bucket, no puedes otorgarlo a nivel de proyecto.
Agrega hosts de registro a proyectos de Google Cloud y crea los depósitos de almacenamiento asociados. Administrador de Storage (roles/storage.admin) Otorga la función a nivel de proyecto

La función de administrador de almacenamiento puede crear y borrar depósitos de almacenamiento en un proyecto completo, incluidos aquellos que no utiliza Container Registry. Considera cuidadosamente qué cuentas requieren esta función.

  • De forma predeterminada, la cuenta de servicio de Cloud Build tiene permisos en la función de administrador de almacenamiento. Por lo tanto, esta cuenta de servicio puede agregar registros a su proyecto superior con el primer envío y enviar imágenes a los registros existentes en su proyecto superior.
  • Si usas Docker o alguna otra herramienta para crear y enviar imágenes a un registro, considera agregar registros a tu proyecto mediante una cuenta con la función de administrador de almacenamiento más permisiva y, luego, otorgar a Escritor del bucket heredado de almacenamiento o Funciones de visualizador de objetos de almacenamiento en otras cuentas que necesitan enviar o extraer imágenes

Para obtener más información sobre las funciones y los permisos de Cloud Storage, consulta la documentación de Cloud Storage.

Otorga permisos de IAM

Container Registry usa depósitos de Cloud Storage como almacenamiento subyacente para las imágenes de contenedor. Para controlar el acceso a las imágenes, otorga permisos al bucket de un registro.

La primera envío de imagen a un nombre de host agrega el host de registro y su bucket de almacenamiento a un proyecto. Por ejemplo, la primera inserción en gcr.io/my-project agrega el host de registro gcr.io al proyecto con el ID del proyecto my-project y crea un almacenamiento. bucket para el registro. El nombre del bucket tiene uno de los siguientes formatos:

  • artifacts.PROJECT-ID.appspot.com para las imágenes almacenadas en el host gcr.io
  • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com para imágenes almacenadas en otros hosts de registro

Para realizar de forma correcta esta primera envío de imágenes, la cuenta que realiza el envío debe tener permisos en la función Administrador de almacenamiento.

Después de la envío inicial de la imagen a un host de registro, otorgas permisos en el bucket de almacenamiento de registros para controlar el acceso a las imágenes en el registro:

  • Escritor de buckets heredados de almacenamiento para enviar y extraer
  • Visualizador de objetos de almacenamiento solo para extraer

Puedes otorgar permiso para un depósito con Google Cloud Console o la herramienta de línea de comandos de gsutil.

Limitaciones y restricciones

Solo puedes otorgar permisos a nivel de bucket de almacenamiento para los hosts de Container Registry.

  • Container Registry ignora los permisos establecidos en objetos individuales dentro de un bucket de Cloud Storage.
  • No puedes otorgar permisos en repositorios dentro de un registro. Si necesitas un control de acceso más detallado, Artifact Registry proporciona un control de acceso a nivel de repositorio y puede adaptarse mejor a tus necesidades.
  • Si habilitas el acceso uniforme a nivel del bucket para cualquier bucket de almacenamiento de Container Registry, debes otorgar permisos explícitos a todos los usuarios y cuentas de servicio que accedan a tus registros. En este caso, es posible que las funciones de propietario y editor por sí solas no otorguen los permisos necesarios.

Otorgando permisos

  1. Si el host del registro aún no existe en el proyecto, una cuenta con permisos en la función de administrador de almacenamiento debe enviar la primera imagen al registro. Esto crea el bucket de almacenamiento para el host de registro.

    Cloud Build tiene los permisos necesarios para realizar el envío inicial de la imagen dentro del mismo proyecto. Si envías imágenes con otra herramienta, verifica los permisos para la cuenta de Google Cloud que usas con el fin de autenticar con Container Registry.

    Para obtener más información sobre cómo enviar la imagen inicial con Docker, consulta la página Agrega un registro.

  2. En el proyecto con Container Registry, otorga los permisos adecuados en el bucket de Cloud Storage que usa el host de registro.

    Console

    1. Ve a la página de Cloud Storage en Cloud Console.
    2. Haz clic en el vínculo artifacts.PROJECT-ID.appspot.com o STORAGE-REGION.artifacts.PROJECT-ID.appspot.com para el depósito.

      Reemplaza PROJECT-ID por el ID del proyecto de Google Cloud del proyecto que aloja Container Registry y STORAGE-REGION por la multirregión. (asia, eu o us) del registro que aloja la imagen

    3. Selecciona la pestaña Permisos.

    4. Haga clic en Agregar.

    5. En el campo Principales, ingresa las direcciones de correo electrónico de las cuentas que requieren acceso, separadas por comas. Estas direcciones de correo electrónico pueden ser de los siguientes tipos:

      • Una Cuenta de Google (por ejemplo, someone@example.com)
      • Un Grupo de Google (por ejemplo, my-developer-team@googlegroups.com)
      • Una cuenta de servicio de IAM.

        Consulta la lista de servicios de Google Cloud que, por lo general, acceden a los registros para encontrar la dirección de correo electrónico de la cuenta de servicio asociada. Si el servicio se ejecuta en un proyecto diferente que Container Registry, asegúrate de usar la dirección de correo electrónico de la cuenta de servicio en el otro proyecto.

    6. En el menú desplegable Seleccionar una función, selecciona la categoría Cloud Storage y, luego, el permiso adecuado.

      • El Visualizador de objetos de Storage extrae solo las imágenes
      • Escritor de depósitos heredados de almacenamiento para enviar y extraer imágenes
    7. Haga clic en Agregar.

    gsutil

    1. Ejecuta el siguiente comando para mostrar una lista de los depósitos en el proyecto:

      gsutil ls
      

      La respuesta se ve como el siguiente ejemplo:

      gs://[BUCKET_NAME1]/
      gs://[BUCKET_NAME2]/
      gs://[BUCKET_NAME3]/ ...
      

      Busca el bucket del host de registro en la lista de bucket s que se muestra. El bucket que almacena tus imágenes tiene el nombre BUCKET-NAME en una de las siguientes formas:

      • artifacts.PROJECT-ID.appspot.com para las imágenes almacenadas en el host gcr.io
      • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com para imágenes almacenadas en otros hosts de registro

      Donde

      • PROJECT-ID es el ID del proyecto de Google Cloud.
      • STORAGE-REGION es la ubicación del depósito de almacenamiento:
        • us para los registros en el host us.gcr.io
        • eu para los registros en el host eu.gcr.io
        • asia para los registros en el host asia.gcr.io
    2. Ejecuta el siguiente comando en el shell o la ventana de la terminal:

      gsutil iam ch TYPE:EMAIL-ADDRESS:ROLE gs://BUCKET_NAME
      

      Donde

      • TYPE puede ser una de las siguientes opciones:
        • serviceAccount, si EMAIL-ADDRESS especifica una cuenta de servicio
        • user, si EMAIL-ADDRESS es una Cuenta de Google
        • group, si EMAIL-ADDRESS es un Grupo de Google.
      • EMAIL-ADDRESS puede ser uno de los datos siguientes:

        • Una Cuenta de Google (por ejemplo, someone@example.com)
        • Un Grupo de Google (por ejemplo, my-developer-team@googlegroups.com)
        • Una cuenta de servicio de IAM.

          Consulta la lista de servicios de Google Cloud que, por lo general, acceden a los registros para encontrar la dirección de correo electrónico de la cuenta de servicio asociada. Si el servicio se ejecuta en un proyecto diferente que Container Registry, asegúrate de usar la dirección de correo electrónico de la cuenta de servicio en el otro proyecto.

      • ROLE es la función de Cloud Storage que deseas otorgar.

        • objectViewer para extraer imágenes
        • legacyBucketWriter envía y extrae imágenes
      • BUCKET_NAME es el nombre del depósito de Cloud Storage en el formato artifacts.PROJECT-ID.appspot.com o STORAGE-REGION.artifacts.PROJECT-ID.appspot.com.

    Por ejemplo, este comando otorga a la cuenta de servicio my-account@my-project.iam.gserviceaccount.com con permisos para enviar y extraer imágenes del bucket my-example-bucket:

    gsutil iam ch \
      serviceAccount:my-account@my-project.iam.gserviceaccount.com:legacyBucketWriter \
      gs://my-example-bucket
    

    El comando gsutil iam ch cambia los permisos de IAM del depósito de almacenamiento en el que se aloja el registro. Puedes encontrar más ejemplos en la documentación de gsutil.

  3. Si configuras el acceso para VM de Compute Engine o nodos de GKE que enviarán imágenes a Container Registry, consulta Configura VM y clústeres a fin de obtener pasos de configuración adicionales.

Configura el acceso público a las imágenes

Se puede acceder públicamente a Container Registry si el bucket de almacenamiento subyacente de la ubicación del host es de acceso público. Dentro de un proyecto, o todas las imágenes de todas las ubicaciones del host son públicas o ninguna lo es. En el host de un proyecto, no es posible entregar públicamente solo imágenes específicas. Si tienes imágenes específicas que quieres hacer públicas, haz lo siguiente:

  • Asegúrate de mantenerlas en una ubicación del host independiente que vayas a hacer pública o
  • Crea un proyecto nuevo para conservar las imágenes de acceso público.

Para entregar imágenes de contenedor de forma pública, sigue estos pasos a fin de que el bucket de almacenamiento subyacente sea de acceso público:

Console

  1. Asegúrate de haber enviado una imagen a Container Registry para que exista el bucket de almacenamiento subyacente.

  2. Abre la página de Container Registry en Cloud Console.

    Abrir la página de Container Registry

  3. En el panel izquierdo, haz clic en Configuración.

  4. En la página Configuración, en Acceso público, activa o desactiva la visibilidad como Pública o Privada. Esta configuración controla el acceso al bucket de almacenamiento subyacente.

    Cuando la visibilidad del host es pública, todas las imágenes de tu proyecto de Google Cloud que se encuentran en esa ubicación del host son de acceso público.

gsutil

  1. Asegúrate de haber enviado una imagen a Container Registry para que exista el bucket de almacenamiento subyacente.

  2. Busca el nombre del bucket de Cloud Storage para ese registro. Para ello, enumera los depósitos:

    gsutil ls
    

    La URL del depósito de Container Registry aparecerá como gs://artifacts.PROJECT-ID.appspot.com o gs://STORAGE-REGION.artifacts.PROJECT-ID.appspot.com, donde:

    • PROJECT-ID es el ID de tu proyecto de Google Cloud Console. Los proyectos con alcance de dominio tendrán el nombre de dominio como parte del ID del proyecto.
    • STORAGE-REGION es la ubicación del depósito de almacenamiento:
      • us para los registros en el host us.gcr.io
      • eu para los registros en el host eu.gcr.io
      • asia para los registros en el host asia.gcr.io
  3. Para hacer que el bucket de almacenamiento de Container Registry sea de acceso público, ejecuta el siguiente comando. Este comando hará que todas las imágenes del bucket sean de acceso público.

    gsutil iam ch allUsers:objectViewer gs://BUCKET-NAME
    

    donde:

    • gs://BUCKET-NAME es la URL del depósito de Container Registry.

Cuando Container Registry es de acceso público, cualquiera puede extraer sus imágenes. Para obtener instrucciones, consulta cómo extraer imágenes de un registro.

Revoca permisos

Sigue estos pasos para revocar los permisos de IAM.

Console

  1. Visita la página de Cloud Storage en Cloud Console.
  2. Haz clic en el vínculo artifacts.PROJECT-ID.appspot.com o STORAGE-REGION.artifacts.PROJECT-ID.appspot.com para el depósito. Aquí, PROJECT-ID es el ID del proyecto de Google Cloud del proyecto que aloja Container Registry y STORAGE-REGION es la multirregión (asiaeuus) del registro que aloja la imagen.

  3. Selecciona la pestaña Permisos.

  4. Haz clic en el ícono de la papelera junto al principal que deseas quitar.

gsutil

Ejecuta el siguiente comando en el shell o la ventana de la terminal:

gsutil iam ch -d PRINCIPAL gs://BUCKET-NAME

donde:

  • PRINCIPAL puede ser una de las siguientes opciones:
    • user:EMAIL-ADDRESS para una Cuenta de Google
    • serviceAccount:EMAIL-ADDRESS para una cuenta de servicio de IAM
    • group:EMAIL-ADDRESS para un Grupo de Google.
    • allUsers para revocar el acceso público
  • BUCKET-NAME es el nombre del depósito deseado

Integra los servicios de Google Cloud.

Para la mayoría de las cuentas de servicio de Google Cloud, la configuración del acceso a un registro solo requiere otorgar los permisos de IAM adecuados.

Permisos predeterminados para los servicios de Google Cloud

Los servicios de Google Cloud, como Cloud Build o Google Kubernetes Engine, usan una cuenta de servicio predeterminada o administrada por Google para interactuar con recursos dentro del mismo proyecto.

Debes configurar o modificar los permisos tú mismo si:

  • El servicio de Google Cloud está en un proyecto diferente del de Container Registry.
  • Los permisos predeterminados no satisfacen tus necesidades. Por ejemplo, la cuenta de servicio de Compute Engine predeterminada tiene acceso de solo lectura al almacenamiento en el mismo proyecto. Si deseas enviar una imagen de la VM a un registro, debes modificar los permisos de la cuenta de servicio de la VM o autenticarte en el registro con una cuenta que tenga acceso de escritura al almacenamiento.
  • Usas una cuenta de servicio personalizada para interactuar con Container Registry

Las siguientes cuentas de servicio suelen acceder a Container Registry. La dirección de correo electrónico de la cuenta de servicio incluye el ID o número del proyecto de Google Cloud del proyecto en el que se ejecuta el servicio.

Service Cuenta de servicio Dirección de correo electrónico Permisos
Entorno flexible de App Engine Cuenta de servicio predeterminada de App Engine PROJECT-ID@appspot.gserviceaccount.com Función de editor; puede leer y escribir en el almacenamiento
Compute Engine Cuenta de servicio predeterminada de Compute Engine PROJECT-NUMBER-compute@developer.gserviceaccount.com Función de editor, limitada al acceso de solo lectura al almacenamiento
Cloud Build Cuenta de servicio de Cloud Build PROJECT-NUMBER@cloudbuild.gserviceaccount.com Los permisos predeterminados incluyen la creación de buckets de almacenamiento y acceso de lectura y escritura al almacenamiento.
Cloud Run Cuenta de servicio predeterminada de Compute Engine
La cuenta de servicio predeterminada del entorno de ejecución para las revisiones.
PROJECT-NUMBER-compute@developer.gserviceaccount.com Función de editor, limitada al acceso de solo lectura al almacenamiento
GKE Cuenta de servicio predeterminada de Compute Engine
La cuenta de servicio predeterminada para los nodos.
PROJECT-NUMBER-compute@developer.gserviceaccount.com Función de editor, limitada al acceso de solo lectura al almacenamiento

Configura VM y clústeres para enviar imágenes

Compute Engine y cualquier servicio de Google Cloud que use Compute Engine tienen la cuenta de servicio predeterminada de Compute Engine como la identidad predeterminada.

Los permisos de IAM y los permisos de acceso afectan la capacidad de las VM para leer y escribir en el almacenamiento.

  • Los permisos de IAM determinan el acceso a un recurso.
  • Los permisos de acceso determinan los permisos de OAuth predeterminados para las solicitudes que se realizan a través de la herramienta de gcloud y las bibliotecas cliente en una instancia de VM. Como resultado, los niveles de acceso pueden limitar aún más el acceso a los métodos de la API cuando se autentica con las credenciales predeterminadas de la aplicación.
    • Para extraer una imagen privada, la cuenta de servicio de VM debe tener el permiso read en el depósito de almacenamiento de la imagen.
    • Para enviar una imagen privada, la cuenta de servicio de la VM debe tener el permiso de acceso read-write, cloud-platform o full-control en el bucket de almacenamiento de la imagen.

La cuenta de servicio predeterminada de Compute Engine tiene la función de editor de forma predeterminada, lo que incluye permisos a fin de crear y actualizar recursos para la mayoría de los servicios de Google Cloud. Sin embargo, para la cuenta de servicio predeterminada o una cuenta de servicio personalizada que asocias con una VM, el permiso de acceso predeterminado para los depósitos de almacenamiento es de solo lectura. Esto significa que, de forma predeterminada, las VM no pueden enviar imágenes.

Si solo quieres implementar imágenes en entornos como Compute Engine y GKE, no necesitas modificar el permiso de acceso. Si deseas ejecutar aplicaciones en estos entornos que envíen imágenes al registro, debes realizar una configuración adicional.

Las siguientes opciones de configuración requieren cambios en los permisos de IAM o en la configuración del permiso de acceso.

Envía imágenes desde una VM o un clúster
Si deseas enviar imágenes, la cuenta de servicio de la instancia de VM debe tener el permiso storage-rw en lugar de storage-ro.
La VM y Container Registry están en proyectos distintos
Debes otorgar a la cuenta de servicio con permisos de IAM para acceder al bucket de almacenamiento que usa Container Registry.
Ejecuta comandos gcloud en las VM
La cuenta de servicio debe tener el permiso cloud-platform. Este permiso otorga los permisos para enviar y extraer imágenes, así como para ejecutar comandos de gcloud.

Los pasos para configurar permisos se encuentran en las siguientes secciones.

Configura permisos para VM

Para establecer permisos de acceso cuando creas una VM, usa la opción - scopes.

gcloud compute instances create INSTANCE --scopes=SCOPE

Donde

  • INSTANCE es el nombre de la instancia de VM.
  • SCOPE es el permiso que deseas configurar para la cuenta de servicio de VM:
    • Extrae imágenes: storage-ro
    • Extrae y envía imágenes: storage-rw
    • Extrae y envía imágenes, ejecuta comandos de gcloud: cloud-platform

Para cambiar los alcances de una instancia de VM existente, sigue estos pasos:

Configura el permiso de acceso con la opción - scopes.

  1. Detén la instancia de VM. Consulta Detén una instancia.

  2. Cambia el permiso de acceso con el siguiente comando.

    gcloud compute instances set-service-account INSTANCE --scopes=SCOPE
    

    Donde

    • INSTANCE es el nombre de la instancia de VM.
    • SCOPE es el permiso que deseas configurar para la cuenta de servicio de VM:
      • Extrae imágenes: storage-ro
      • Extrae y envía imágenes: storage-rw
      • Extrae y envía imágenes, ejecuta comandos de gcloud: cloud-platform
  3. Reinicia la instancia de VM. Consulta Inicia una instancia detenida.

Si deseas usar una cuenta de servicio personalizada para las VM en lugar de la cuenta de servicio predeterminada, puedes especificar la cuenta de servicio y los niveles de acceso que usarás cuandocrear la VM oModificar la configuración de la VM ,

Configura los permisos para clústeres de Google Kubernetes Engine

De forma predeterminada, los clústeres de GKE nuevos se crean con permisos de solo lectura para los depósitos de Cloud Storage.

A fin de configurar el permiso de almacenamiento read-write cuando creas un clúster de Google Kubernetes Engine, usa la opción --scopes. Por ejemplo, el siguiente comando crea un clúster con los alcances bigquery, storage-rw y compute-ro:

gcloud container clusters create example-cluster \
--scopes=bigquery,storage-rw,compute-ro

Para obtener más información sobre los permisos que puedes configurar cuando creas un clúster nuevo, consulta la documentación del comando gcloud container clusters create.

La cuenta de servicio de Container Registry

El agente de servicio de Container Registry es una cuenta de servicio administrada por Google que actúa en nombre de Container Registry cuando interactúa con los servicios de Google Cloud. La cuenta de servicio tiene un conjunto mínimo de permisos necesarios si habilitaste la API de Container Registry después del 5 de octubre de 2020. La cuenta de servicio tenía la función de editor antes. Para obtener más información sobre la cuenta y modificar sus permisos, consulta Cuenta de servicio de Container Registry.

Pruébalo tú mismo

Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de Container Registry en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Probar Container Registry gratis