Kontrol akses dengan IAM

Halaman ini menjelaskan izin untuk mengontrol akses ke Container Registry.

Setelah mengonfigurasi izin, Anda dapat mengonfigurasi autentikasi untuk klien Docker yang Anda gunakan untuk mengirim dan menarik image.

Jika Anda menggunakan Artifact Analysis untuk bekerja dengan metadata container, seperti kerentanan yang ditemukan dalam image, lihat dokumentasi Artifact Analysis untuk mengetahui informasi tentang cara memberikan akses untuk melihat atau mengelola metadata.

Sebelum memulai

Pastikan Anda memiliki izin untuk mengelola pengguna. Anda harus memiliki izin dalam salah satu peran berikut:

  • Project IAM Admin (roles/resourcemanager.projectIamAdmin)
  • Admin Keamanan (roles/iam.securityAdmin)

Sebagai alternatif untuk memberikan peran ini, Anda dapat menggunakan peran khusus atau peran bawaan dengan izin yang sama.

Izin dan peran

Semua pengguna, akun layanan, dan identitas lainnya yang berinteraksi dengan Container Registry harus memiliki izin Identity and Access Management (IAM) yang sesuai untuk Cloud Storage.

  • LayananGoogle Cloud yang biasanya mengakses Container Registry dikonfigurasi dengan izin default ke registry dalam projectGoogle Cloud yang sama. Jika izin default tidak memenuhi kebutuhan Anda, Anda harus mengonfigurasi izin yang sesuai.
  • Untuk identitas lainnya, Anda harus mengonfigurasi izin yang diperlukan.

Anda mengontrol akses ke host Container Registry dengan izin Cloud Storage. Tabel berikut mencantumkan peran Cloud Storage yang memiliki izin yang diperlukan oleh Container Registry.

Beberapa izin tambahan diperlukan saat melihat image Container Registry menggunakan konsol, lihat Izin umum yang diperlukan untuk menggunakan konsol Cloud. Google Cloud

Akses yang diperlukan Peran Tempat untuk memberikan izin
Menarik image (hanya baca) dari registry yang ada Storage Object Viewer (roles/storage.objectViewer) Berikan peran tersebut ke bucket penyimpanan registri.
Mengirim (menulis) image ke dan menarik (membaca) image dari host registry yang ada dalam project Storage Legacy Bucket Writer (roles/storage.legacyBucketWriter) Berikan peran tersebut ke bucket penyimpanan registri. Izin ini hanya tersedia di level bucket, Anda tidak dapat memberikannya di level project.
Tambahkan host registri ke Google Cloud project dan buat bucket penyimpanan terkait. Admin Penyimpanan (roles/storage.admin) Memberikan peran di tingkat project

Mengirim gambar memerlukan izin baca dan tulis objek serta izin storage.buckets.get. Peran Storage Legacy Bucket Writer mencakup izin yang diperlukan dalam satu peran Cloud Storage, tetapi tidak memberikan kontrol penuh atas bucket dan objek penyimpanan.

Peran Storage Admin memberikan kontrol penuh atas bucket dan objek penyimpanan. Jika Anda memberikan izin ini di level project, akun utama memiliki akses ke semua bucket penyimpanan dalam project, termasuk bucket yang tidak digunakan oleh Container Registry. Pertimbangkan dengan cermat akun utama mana yang memerlukan peran ini.

  • Secara default, akun layanan Cloud Build memiliki izin dalam peran Storage Admin. Oleh karena itu, akun layanan ini dapat menambahkan registry ke project induknya dengan push pertama dan mengirimkan gambar ke registry yang ada di project induknya.
  • Jika Anda menggunakan Docker atau alat lain untuk membuat dan mengirim image ke registry, sebaiknya tambahkan registry ke project Anda menggunakan akun dengan peran Storage Admin yang lebih permisif, lalu berikan peran Storage Legacy Bucket Writer atau Storage Object Viewer ke akun lain yang perlu mengirim atau menarik image.

Untuk mengetahui informasi selengkapnya tentang peran dan izin Cloud Storage, lihat dokumentasi Cloud Storage.

Memberikan izin IAM

Container Registry menggunakan bucket Cloud Storage sebagai penyimpanan yang mendasari image container. Anda mengontrol akses ke gambar Anda dengan memberikan izin ke bucket untuk registry.

Pengiriman image pertama ke nama host akan menambahkan host registry dan bucket penyimpanan ke project. Misalnya, push pertama ke gcr.io/my-project menambahkan host registry gcr.io ke project dengan project ID my-project dan membuat bucket penyimpanan untuk registry. Nama bucket memiliki salah satu format berikut:

  • artifacts.PROJECT-ID.appspot.com untuk image yang disimpan di host gcr.io
  • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com untuk image yang disimpan di host registry lain

Agar berhasil melakukan push image pertama ini, akun yang melakukan push harus memiliki izin dalam peran Storage Admin.

Setelah pengiriman image awal ke host registry, Anda kemudian memberikan izin pada bucket penyimpanan registry untuk mengontrol akses ke image di registry:

  • Storage Legacy Bucket Writer untuk mengirim dan menarik
  • Storage Object Viewer untuk menarik saja

Anda dapat memberikan izin untuk bucket menggunakan Google Cloud console atau Google Cloud CLI.

Pembatasan dan batasan

Anda hanya dapat memberikan izin di tingkat bucket penyimpanan untuk host Container Registry.

  • Container Registry mengabaikan izin yang ditetapkan pada objek individual dalam bucket Cloud Storage.
  • Anda tidak dapat memberikan izin pada repositori dalam registry. Jika Anda memerlukan kontrol akses yang lebih terperinci, Artifact Registry menyediakan kontrol akses tingkat repositori dan mungkin lebih sesuai dengan kebutuhan Anda.
  • Jika Anda mengaktifkan akses level bucket yang seragam untuk bucket penyimpanan Container Registry, Anda harus memberikan izin secara eksplisit kepada semua pengguna dan akun layanan yang mengakses registry Anda. Dalam kasus ini, peran Pemilik dan Editor saja mungkin tidak memberikan izin yang diperlukan.

Memberikan izin

  1. Jika host registry belum ada di project, akun dengan izin dalam peran Admin Penyimpanan harus mengirimkan image pertama ke registry. Perintah ini akan membuat bucket penyimpanan untuk host registry.

    Cloud Build memiliki izin yang diperlukan untuk melakukan push image awal dalam project yang sama. Jika Anda mengirim image dengan alat lain, verifikasi izin untuk akun Google Cloud yang Anda gunakan untuk melakukan autentikasi dengan Container Registry.

    Untuk mengetahui informasi selengkapnya tentang cara mengirim image awal dengan Docker, lihat Menambahkan registry.

  2. Di project dengan Container Registry, berikan izin yang sesuai di bucket Cloud Storage yang digunakan oleh host registry.

    Konsol

    1. Buka halaman Cloud Storage di Google Cloud konsol.

    2. Klik link artifacts.PROJECT-ID.appspot.com atau STORAGE-REGION.artifacts.PROJECT-ID.appspot.com untuk bucket.

      Ganti PROJECT-ID dengan Google Cloud project ID project yang menghosting Container Registry dan STORAGE-REGION dengan multi-region (asia, eu, atau us) registry yang menghosting image.

    3. Pilih tab Permissions.

    4. Klik Tambahkan.

    5. Di kolom Principals, masukkan alamat email akun yang memerlukan akses, yang dipisahkan dengan koma. Alamat email ini dapat berupa salah satu dari berikut:

      • Akun Google (misalnya, someone@example.com)
      • Grup Google (misalnya, my-developer-team@googlegroups.com)

      • Akun layanan IAM.

        Lihat daftar Google Cloud layanan yang biasanya mengakses registry untuk menemukan alamat email akun layanan terkait. Jika layanan berjalan di project yang berbeda dengan Container Registry, pastikan Anda menggunakan alamat email akun layanan di project lain.

    6. Dari menu drop-down Select a role, pilih kategori Cloud Storage, lalu pilih izin yang sesuai.

      • Storage Object Viewer untuk menarik image saja
      • Storage Legacy Bucket Writer untuk mengirim dan menarik image

    7. Klik Tambahkan.

    gcloud

    1. Jalankan perintah berikut untuk mencantumkan bucket dalam project:

      gcloud storage ls

      Responsnya akan terlihat seperti contoh berikut:

      gs://[BUCKET_NAME1]/
gs://[BUCKET_NAME2]/
gs://[BUCKET_NAME3]/ ...

      Temukan bucket untuk host registri dalam daftar bucket yang ditampilkan. Bucket yang menyimpan gambar Anda memiliki nama BUCKET-NAME dalam salah satu bentuk berikut:

      • artifacts.PROJECT-ID.appspot.com untuk image yang disimpan di host gcr.io
      • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com untuk image yang disimpan di host registry lain

      Di mana

      • PROJECT-ID adalah Google Cloud project ID Anda.
      • STORAGE-REGION adalah lokasi bucket penyimpanan:
        • us untuk registry di host us.gcr.io
        • eu untuk registry di host eu.gcr.io
        • asia untuk registry di host asia.gcr.io

    2. Jalankan perintah berikut di shell atau jendela terminal Anda:

      gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
--member=TYPE:EMAIL-ADDRESS \
--role=ROLE

      Di mana

      • BUCKET_NAME adalah nama bucket Cloud Storage dalam bentuk artifacts.PROJECT-ID.appspot.com atau STORAGE-REGION.artifacts.PROJECT-ID.appspot.com
      • TYPE dapat berupa salah satu dari berikut:
        • serviceAccount, jika EMAIL-ADDRESS menentukan akun layanan.
        • user, jika EMAIL-ADDRESS adalah Akun Google.
        • group, jika EMAIL-ADDRESS adalah grup Google.

      • EMAIL-ADDRESS dapat berupa salah satu dari berikut ini:

        • Akun Google (misalnya, someone@example.com)
        • Grup Google (misalnya, my-developer-team@googlegroups.com)

        • Akun layanan IAM.

          Lihat daftar Google Cloud layanan yang biasanya mengakses registry untuk menemukan alamat email akun layanan terkait. Jika layanan berjalan di project yang berbeda dengan Container Registry, pastikan Anda menggunakan alamat email akun layanan di project lain.

      • ROLE adalah peran Cloud Storage yang ingin Anda berikan.

        • objectViewer untuk menarik gambar
        • legacyBucketWriter mengirim dan mengambil gambar

    Misalnya, perintah ini memberikan izin ke akun layanan my-account@my-project. untuk mengirim dan menarik image di bucket my-example-bucket:

    gcloud storage buckets add-iam-policy-binding gs://my-example-bucket \
  --member=serviceAccount:my-account@my-project. \
  --role=roles/storage.objectUser

    Perintah gcloud storage buckets add-iam-policy-binding mengubah izin IAM bucket penyimpanan tempat registry dihosting. Contoh tambahan ada di dokumentasi gcloud CLI.

  3. Jika Anda mengonfigurasi akses untuk VM Compute Engine atau node GKE yang akan mengirimkan image ke Container Registry, lihat Mengonfigurasi VM dan cluster untuk langkah-langkah konfigurasi tambahan.

Mengonfigurasi akses publik ke gambar

Container Registry dapat diakses secara publik jika bucket penyimpanan yang mendasarinya di lokasi host dapat diakses secara publik. Dalam project, semua image di setiap lokasi host bersifat publik atau tidak. Dalam host project, hanya gambar tertentu yang dapat ditayangkan secara publik. Jika Anda memiliki gambar tertentu yang ingin Anda jadikan publik:

  • Pastikan untuk menyimpannya di lokasi host terpisah yang Anda buat publik, atau
  • Buat project baru untuk menyimpan gambar yang dapat diakses secara publik.

Untuk menayangkan image container secara publik, buat bucket penyimpanan yang mendasarinya dapat diakses secara publik dengan mengikuti langkah-langkah berikut:

  1. Pastikan Anda telah mengirim image ke Container Registry sehingga bucket penyimpanan yang mendasarinya ada.

  2. Temukan nama bucket Cloud Storage untuk registri tersebut. Untuk melakukannya, cantumkan bucket:

    gcloud storage ls

    URL bucket Container Registry Anda akan tercantum sebagai gs://artifacts.PROJECT-ID.appspot.com atau gs://STORAGE-REGION.artifacts.PROJECT-ID.appspot.com, dengan:

    • PROJECT-ID adalah Google Cloud project ID Anda. Project yang tercakup dalam domain akan memiliki nama domain sebagai bagian dari project ID.
    • STORAGE-REGION adalah lokasi bucket penyimpanan:
      • us untuk registry di host us.gcr.io
      • eu untuk registry di host eu.gcr.io
      • asia untuk registry di host asia.gcr.io

  3. Buat bucket penyimpanan Container Registry dapat diakses secara publik dengan menjalankan perintah berikut. Perintah ini akan membuat semua gambar di bucket dapat diakses oleh publik.

    gcloud storage buckets add-iam-policy-binding gs://BUCKET-NAME \
    --member=allUsers --role=roles/storage.objectViewer

    dengan:

    • gs://BUCKET-NAME adalah URL bucket Container Registry

Menghapus akses publik ke gambar

Konsol

  1. Pastikan Anda telah mengirim image ke Container Registry sehingga bucket penyimpanan yang mendasarinya ada.

  2. Buka halaman Container Registry di konsol Google Cloud .

    Buka halaman Container Registry

  3. Di panel kiri, klik Setelan.

  4. Di halaman Setelan di bagian Akses publik, alihkan visibilitas ke Pribadi. Setelan ini mengontrol akses ke bucket penyimpanan yang mendasarinya.

penyimpanan gcloud

  1. Temukan nama bucket Cloud Storage untuk registri tersebut. Untuk melakukannya, cantumkan bucket:

    gcloud storage ls

    URL bucket Container Registry Anda akan tercantum sebagai gs://artifacts.PROJECT-ID.appspot.com atau gs://STORAGE-REGION.artifacts.PROJECT-ID.appspot.com, dengan:

    • PROJECT-ID adalah Google Cloud project ID konsol Anda. Project yang tercakup dalam domain akan memiliki nama domain sebagai bagian dari project ID.
    • STORAGE-REGION adalah lokasi bucket penyimpanan:
      • us untuk registry di host us.gcr.io
      • eu untuk registry di host eu.gcr.io
      • asia untuk registry di host asia.gcr.io

  2. Untuk menghapus akses publik ke bucket penyimpanan Anda, jalankan perintah berikut di jendela terminal atau shell Anda:

    gcloud storage bucket remove-iam-policy-binding gs://BUCKET-NAME \
  --member=allUsers --role=roles/storage.objectViewer

dengan:

  • BUCKET-NAME adalah nama bucket yang diinginkan

Mencabut izin

Gunakan langkah-langkah berikut untuk mencabut izin IAM.

Konsol

  1. Buka halaman Cloud Storage di Google Cloud konsol.

  2. Klik link artifacts.PROJECT-ID.appspot.com atau STORAGE-REGION.artifacts.PROJECT-ID.appspot.com untuk bucket. Di sini, PROJECT-ID adalah Google Cloud project ID dari project yang menghosting Container Registry dan STORAGE-REGION adalah multi-region (asia, eu, atau us) dari registry yang menghosting image.

  3. Pilih tab Permissions.

  4. Klik ikon sampah di samping setiap kepala sekolah yang ingin Anda hapus.

gcloud

Jalankan perintah berikut di shell atau jendela terminal Anda:

gcloud storage bucket remove-iam-policy-binding gs://BUCKET-NAME \
    --member=PRINCIPAL --all

dengan:

  • BUCKET-NAME adalah nama bucket yang diinginkan
  • PRINCIPAL dapat berupa salah satu dari berikut:
    • user:EMAIL-ADDRESS untuk Akun Google
    • serviceAccount:EMAIL-ADDRESS untuk akun layanan IAM
    • group:EMAIL-ADDRESS untuk grup Google.
    • allUsers untuk mencabut akses publik

Berintegrasi dengan layanan Google Cloud

Untuk sebagian besar akun layanan Google Cloud , mengonfigurasi akses ke registry hanya memerlukan pemberian izin IAM yang sesuai.

Izin default untuk layanan Google Cloud

LayananGoogle Cloud seperti Cloud Build atau Google Kubernetes Engine menggunakan akun layanan default atau agen layanan untuk berinteraksi dengan resource dalam project yang sama.

Anda harus mengonfigurasi atau mengubah izin sendiri jika:

  • Google Cloud Layanan berada di project yang berbeda dengan Container Registry.
  • Izin default tidak memenuhi kebutuhan Anda. Misalnya, akun layanan Compute Engine default memiliki akses hanya baca ke penyimpanan dalam project yang sama. Jika Anda ingin mengirimkan image dari VM ke registry, Anda harus mengubah izin untuk akun layanan VM atau mengautentikasi ke registry dengan akun yang memiliki akses tulis ke penyimpanan.
  • Anda menggunakan akun layanan kustom untuk berinteraksi dengan Container Registry

Akun layanan berikut biasanya mengakses Container Registry. Alamat email untuk akun layanan mencakup Google Cloud project ID atau nomor project project tempat layanan berjalan.

Layanan Akun layanan Alamat email Izin
Lingkungan fleksibel App Engine Akun layanan default App Engine PROJECT-ID@ Peran editor, dapat membaca dan menulis ke penyimpanan
Compute Engine Compute Engine default service account PROJECT-NUMBER-compute@ Peran Editor, terbatas pada akses hanya baca ke penyimpanan
Cloud Build Akun layanan Cloud Build PROJECT-NUMBER@cloudbuild. Izin default mencakup pembuatan bucket penyimpanan, serta akses baca dan tulis ke penyimpanan.
Cloud Run Akun layanan default Compute Engine
Akun layanan runtime default untuk revisi.		 PROJECT-NUMBER-compute@ Peran Editor, terbatas pada akses hanya baca ke penyimpanan
GKE Akun layanan default Compute Engine
Akun layanan default untuk node.		 PROJECT-NUMBER-compute@ Peran editor, terbatas pada akses hanya baca ke penyimpanan

Mengonfigurasi VM dan cluster untuk mengirim image

Compute Engine dan setiap Google Cloud layanan yang menggunakan Compute Engine memiliki akun layanan default Compute Engine sebagai identitas default.

Izin IAM dan cakupan akses memengaruhi kemampuan VM untuk membaca dan menulis ke penyimpanan.

  • Izin IAM menentukan akses ke resource.
  • Cakupan akses menentukan cakupan OAuth default untuk permintaan yang dibuat melalui gcloud CLI dan library klien pada instance VM. Akibatnya, cakupan akses dapat lebih membatasi akses ke metode API saat melakukan autentikasi dengan Kredensial Default Aplikasi.
    • Untuk menarik image pribadi, akun layanan VM harus memiliki izin read ke bucket penyimpanan image.
    • Untuk mengirimkan image pribadi, akun layanan VM harus memiliki cakupan akses read-write, cloud-platform, atau full-control ke bucket penyimpanan image.

Akun layanan default Compute Engine memiliki peran Editor secara default, yang mencakup izin untuk membuat dan memperbarui resource untuk sebagian besar Google Cloud layanan. Namun, untuk akun layanan default atau akun layanan kustom yang Anda kaitkan dengan VM, cakupan akses default untuk bucket penyimpanan bersifat hanya baca. Artinya, secara default, VM tidak dapat mengirimkan image.

Jika Anda hanya ingin men-deploy image ke lingkungan seperti Compute Engine dan GKE, Anda tidak perlu mengubah cakupan akses. Jika Anda ingin menjalankan aplikasi di lingkungan ini yang mengirimkan image ke registry, Anda harus melakukan konfigurasi tambahan.

Penyiapan berikut memerlukan perubahan pada izin IAM atau konfigurasi cakupan akses.

Mengirimkan gambar dari VM atau cluster
Jika Anda ingin mengirimkan image, akun layanan instance VM harus memiliki cakupan storage-rw, bukan storage-ro.
VM dan Container Registry berada di project yang berbeda
Anda harus memberikan izin IAM ke akun layanan untuk mengakses bucket penyimpanan yang digunakan oleh Container Registry.
Menjalankan perintah gcloud di VM
Akun layanan harus memiliki cakupan cloud-platform. Cakupan ini memberikan izin untuk mengirim dan menarik image, serta menjalankan perintah gcloud.

Langkah-langkah untuk mengonfigurasi cakupan ada di bagian berikut.

Mengonfigurasi cakupan untuk VM

Untuk menetapkan cakupan akses saat membuat VM, gunakan opsi --scopes.

gcloud compute instances create INSTANCE --scopes=SCOPE

Di mana

  • INSTANCE adalah nama instance VM.
  • SCOPE adalah cakupan yang ingin Anda konfigurasi untuk akun layanan VM:
    • Tarik gambar: storage-ro
    • Menarik dan mengirim gambar: storage-rw
    • Menarik dan mengirim image, menjalankan perintah gcloud: cloud-platform

Untuk mengubah cakupan instance VM yang ada:

Tetapkan cakupan akses dengan opsi --scopes.

  1. Hentikan instance VM. Lihat Menghentikan instance.

  2. Ubah cakupan akses dengan perintah berikut.

    gcloud compute instances set-service-account INSTANCE --scopes=SCOPE

    Di mana

    • INSTANCE adalah nama instance VM.
    • SCOPE adalah cakupan yang ingin Anda konfigurasi untuk akun layanan VM:
      • Tarik gambar: storage-ro
      • Menarik dan mengirim gambar: storage-rw
      • Menarik dan mengirim image, menjalankan perintah gcloud: cloud-platform

  3. Mulai ulang instance VM. Lihat Memulai instance yang dihentikan.

Jika ingin menggunakan akun layanan kustom untuk VM, bukan akun layanan default, Anda dapat menentukan akun layanan dan cakupan akses yang akan digunakan saat membuat VM atau mengubah setelan VM.

Mengonfigurasi cakupan untuk cluster Google Kubernetes Engine

Secara default, cluster GKE baru dibuat dengan izin hanya baca untuk bucket Cloud Storage.

Untuk menetapkan cakupan read-write penyimpanan saat membuat cluster Google Kubernetes Engine, gunakan opsi --scopes. Misalnya, perintah berikut membuat cluster dengan cakupan bigquery, storage-rw, dan compute-ro:

gcloud container clusters create example-cluster \
--scopes=bigquery,storage-rw,compute-ro

Untuk mengetahui informasi selengkapnya tentang cakupan yang dapat Anda tetapkan saat membuat cluster baru, lihat dokumentasi untuk perintah gcloud container clusters create.

Akun layanan Container Registry

Agen Layanan Container Registry bertindak atas nama Container Registry saat berinteraksi dengan layanan Google Cloud . Agen layanan memiliki serangkaian izin minimum yang diperlukan jika Anda mengaktifkan Container Registry API setelah 5 Oktober 2020. Agen layanan sebelumnya memiliki peran Editor. Untuk mengetahui informasi selengkapnya tentang agen layanan dan cara mengubah izinnya, lihat Akun layanan Container Registry.

Coba sendiri

Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa Container Registry dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

Coba Container Registry secara gratis