google-cloud-platform - GCP 只读角色(查看者角色)允许从 Google Container Registry 拉取图像
问题描述
有没有人找到一种解决方法来拒绝用户从 Google 容器注册表中提取图像,只具有查看者角色???Iam 策略约束尚不支持存储桶拒绝。想知道如何解决此问题,同时允许用户查看者角色查看 GCP 资源。
解决方案
“查看者”组的成员有权读取工件存储桶中的对象,因为他们是存储桶(以及所有新存储桶,默认情况下)的旧 ACL中的读取器。因此,您必须通过更改旧 ACL 而不是 IAM ACL 来修复它:
- 转到https://console.cloud.google.com/storage/browser?project=your-project-123
- 编辑工件存储桶的存储桶权限
- 从“Storage Legacy Bucket Reader”中删除“Viewers of project: your-project-123”
将来这可能会成为 IAM 控制的功能(在这种情况下,IAM 自定义角色将是解决方案)。
推荐阅读
- java - 从 List 获取处理案例的服务
- javascript - 如何编写将调用可能包含引号的变量字符串的公式?
- c# - C#忽略部分字符串拆分
- jquery - 在 AngularJS 中附加一个 HTML 字符串
- python - opencv如何在屏幕录像机上使用级联
- php - 如果有子括号,如何用 PHP 拆分 CSS 代码?
- node.js - 使用 MITM 代理将所有 HTTPS 请求转发到本地 Express.js 应用程序
- java - 一个关于 SNMP4j V3 并行并发 SNMP 请求的奇怪问题
- javascript - 如何在 Microsoft 网络聊天中自动加入对话(机器人框架)
- python - Nginx+Flask如何解释python源文件?