Questa pagina descrive le autorizzazioni per controllare l'accesso a Container Registry.
Dopo aver configurato le autorizzazioni, puoi configurare l'autenticazione per i client Docker che utilizzi per eseguire il push e il pull delle immagini.
Se utilizzi Artifact Analysis per lavorare con i metadati dei container, ad esempio le vulnerabilità rilevate nelle immagini, consulta la documentazione di Artifact Analysis per informazioni su come concedere l'accesso per visualizzare o gestire i metadati.
Prima di iniziare
Verifica di disporre delle autorizzazioni per gestire gli utenti. Devi disporre delle autorizzazioni in uno dei seguenti ruoli:
- Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin)
- Amministratore sicurezza (roles/iam.securityAdmin)
In alternativa alla concessione di questi ruoli, puoi utilizzare un ruolo personalizzato o un ruolo predefinito con le stesse autorizzazioni.
Autorizzazioni e ruoli
Tutti gli utenti, gli account di servizio e le altre identità che interagiscono con Container Registry devono disporre delle autorizzazioni IAM (Identity and Access Management) appropriate per Cloud Storage.
- I serviziGoogle Cloud che in genere accedono a Container Registry sono configurati con autorizzazioni predefinite per i registry nello stesso Google Cloud progetto. Se le autorizzazioni predefinite non soddisfano le tue esigenze, devi configurare le autorizzazioni appropriate.
- Per le altre identità, devi configurare le autorizzazioni richieste.
Controlli l'accesso agli host di Container Registry con le autorizzazioni Cloud Storage. La tabella seguente elenca i ruoli Cloud Storage che dispongono delle autorizzazioni richieste da Container Registry.
Per visualizzare le immagini di Container Registry tramite la Google Cloud console, sono necessarie alcune autorizzazioni aggiuntive. Consulta Autorizzazioni comuni richieste per l'utilizzo della console Cloud.
| Accesso richiesto | Ruolo | Dove concedere le autorizzazioni |
|---|---|---|
| Estrarre le immagini (sola lettura) da un registry esistente | Visualizzatore oggetti Storage (roles/storage.objectViewer) | Concedi il ruolo nel bucket di archiviazione del registry. |
| Eseguire il push (scrittura) e il pull (lettura) delle immagini da un host del registry esistente in un progetto | Storage Legacy Bucket Writer (roles/storage.legacyBucketWriter) | Concedi il ruolo nel bucket di archiviazione del registry. Questa autorizzazione è disponibile solo a livello di bucket e non puoi concederla a livello di progetto. |
| Aggiungi gli host del registry ai progetti Google Cloud e crea i bucket di archiviazione associati. | Amministratore dello spazio di archiviazione (roles/storage.admin) | Concedi il ruolo a livello di progetto |
Per inviare le immagini sono necessarie le autorizzazioni di lettura e scrittura degli oggetti, nonché l'autorizzazione storage.buckets.get. Il ruolo Writer bucket legacy Storage include le autorizzazioni richieste in un unico ruolo Cloud Storage, ma non concede il controllo completo sui bucket e sugli oggetti di archiviazione.
Il ruolo Amministratore archiviazione concede il controllo completo sui bucket e sugli oggetti di archiviazione. Se concedi questa autorizzazione a livello di progetto, l'entità ha accesso a tutti i bucket di archiviazione del progetto, inclusi quelli non utilizzati da Container Registry. Valuta attentamente quali entità richiedono questo ruolo.
- Per impostazione predefinita, l'account di servizio Cloud Build dispone di autorizzazioni nel ruolo Amministratore di archiviazione. Questo account di servizio può quindi aggiungere registry al progetto principale con il primo push ed eseguire il push delle immagini nei registry esistenti nel progetto principale.
- Se utilizzi Docker o altri strumenti per creare e inviare immagini a un registry, considera la possibilità di aggiungere registry al tuo progetto utilizzando un account con il ruolo più permissivo Amministratore archiviazione, quindi concedi i ruoli Scrittore di bucket legacy archiviazione o visualizzatore di oggetti archiviazione ad altri account che devono inviare o recuperare le immagini.
Per ulteriori informazioni su ruoli e autorizzazioni di Cloud Storage, consulta la documentazione di Cloud Storage.
Concedi autorizzazioni IAM
Container Registry utilizza i bucket Cloud Storage come archiviazione sottostante per le immagini dei contenitori. Puoi controllare l'accesso alle tue immagini granting permissions to the bucket for a registry.
Il primo push di un'immagine a un nome host aggiunge l'host del registry e il relativo
bucket di archiviazione a un progetto. Ad esempio, il primo push a gcr.io/my-project
aggiunge l'host del registry gcr.io al progetto con il
ID progetto
my-project e crea un bucket di archiviazione per il registry. Il nome del bucket ha uno dei seguenti formati:
artifacts.PROJECT-ID.appspot.comper le immagini archiviate sull'hostgcr.ioSTORAGE-REGION.artifacts.PROJECT-ID.appspot.comper le immagini archiviate su altri host del registry
Per eseguire correttamente questo primo push di immagini, l'account che esegue il push deve disporre delle autorizzazioni del ruolo Amministratore Storage.
Dopo il push iniziale dell'immagine a un host del registry, concedi le autorizzazioni sul bucket di archiviazione del registry per controllare l'accesso alle immagini nel registry:
- Storage Legacy Bucket Writer per push e pull
- Visualizzatore oggetti Storage solo per il pull
Puoi concedere l'autorizzazione per un bucket utilizzando Google Cloud console o Google Cloud CLI.
Limitazioni e restrizioni
Puoi concedere autorizzazioni solo a livello di bucket di archiviazione per gli host di Container Registry.
- Container Registry ignora le autorizzazioni impostate sui singoli oggetti all'interno di un bucket Cloud Storage.
- Non puoi concedere autorizzazioni ai repository all'interno di un registry. Se hai bisogno di controllo dell'accesso più granulare, Artifact Registry fornisce il controllo dell'accesso a livello di repository e potrebbe essere più adatto alle tue esigenze.
- Se attivi l'accesso uniforme a livello di bucket per qualsiasi bucket di archiviazione di Container Registry, devi concedere esplicitamente le autorizzazioni a tutti gli utenti e ai service account che accedono ai tuoi registry. In questo caso, i ruoli Proprietario ed Editor da soli potrebbero non concedere le autorizzazioni richieste.
Concedi le autorizzazioni
Se l'host del registry non esiste ancora nel progetto, un account con autorizzazioni nel ruolo Amministratore dello spazio di archiviazione deve eseguire il push della prima immagine nel registry. Viene creato il bucket di archiviazione per l'host del registry.
Cloud Build dispone delle autorizzazioni necessarie per eseguire il push iniziale dell'immagine all'interno dello stesso progetto. Se esegui il push delle immagini con un altro strumento, verifica le autorizzazioni per l' Google Cloud account che stai utilizzando per l'autenticazione con Container Registry.
Per ulteriori informazioni sull'esecuzione del push dell'immagine iniziale con Docker, consulta Aggiunta di un registry.
Nel progetto con Container Registry, concedi le autorizzazioni appropriate sul bucket Cloud Storage utilizzato dall'host del registry.
Console
- Vai alla pagina Cloud Storage nella Google Cloud console.
Fai clic sul link
artifacts.PROJECT-ID.appspot.comoSTORAGE-REGION.artifacts.PROJECT-ID.appspot.comper il bucket.Sostituisci PROJECT-ID con l' Google Cloud ID progetto del progetto che ospita Container Registry e STORAGE-REGION con la regione multipla (
asia,euous) del registry che ospita l'immagine.Seleziona la scheda Autorizzazioni.
Fai clic su Aggiungi.
Nel campo Principali, inserisci gli indirizzi email degli account che richiedono l'accesso, separati da virgole. Questo indirizzo email può essere uno dei seguenti:
- Un Account Google (ad esempio
someone@example.com) - Un gruppo Google (ad esempio
my-developer-team@googlegroups.com) Un account di servizio IAM.
Consulta l'elenco dei Google Cloud servizi che in genere accedono ai registry per trovare l'indirizzo email dell'account di servizio associato. Se il servizio è in esecuzione in un progetto diverso da Container Registry, assicurati di utilizzare l'indirizzo email dell'account di servizio nell'altro progetto.
- Un Account Google (ad esempio
Nel menu a discesa Seleziona un ruolo, seleziona la categoria Cloud Storage e poi l'autorizzazione appropriata.
- Storage Object Viewer per estrarre solo le immagini
- Storage Legacy Bucket Writer per eseguire il push e il pull delle immagini
Fai clic su Aggiungi.
gcloud
Esegui il comando seguente per elencare i bucket nel progetto:
gcloud storage lsLa risposta è simile al seguente esempio:
gs://[BUCKET_NAME1]/ gs://[BUCKET_NAME2]/ gs://[BUCKET_NAME3]/ ...Individua il bucket per l'host del registry nell'elenco dei bucket restituito. Il bucket che memorizza le immagini ha il nome BUCKET-NAME in uno dei seguenti formati:
artifacts.PROJECT-ID.appspot.comper le immagini archiviate sull'hostgcr.ioSTORAGE-REGION.artifacts.PROJECT-ID.appspot.comper le immagini archiviate su altri host del registry
Dove
- PROJECT-ID è il tuo Google Cloud ID progetto.
- STORAGE-REGION è la posizione del bucket di archiviazione:
usper i registry nell'hostus.gcr.ioeuper i registry nell'hosteu.gcr.ioasiaper i registry nell'hostasia.gcr.io
Esegui il seguente comando nella shell o nella finestra del terminale:
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=TYPE:EMAIL-ADDRESS \ --role=ROLEDove
- BUCKET_NAME è il nome del
bucket Cloud Storage nel formato
artifacts.PROJECT-ID.appspot.comoSTORAGE-REGION.artifacts.PROJECT-ID.appspot.com - TYPE può essere uno dei seguenti:
serviceAccount, se EMAIL-ADDRESS specifica un account di servizio.user, se EMAIL-ADDRESS è un Account Google.group, se EMAIL-ADDRESS è un gruppo Google.
EMAIL-ADDRESS può essere uno dei seguenti:
- Un Account Google (ad esempio
someone@example.com) - Un gruppo Google (ad esempio
my-developer-team@googlegroups.com) Un account di servizio IAM.
Consulta l'elenco dei Google Cloud servizi che in genere accedono ai registry per trovare l'indirizzo email dell'account di servizio associato. Se il servizio è in esecuzione in un progetto diverso da Container Registry, assicurati di utilizzare l'indirizzo email dell'account di servizio nell'altro progetto.
- Un Account Google (ad esempio
ROLE è il ruolo Cloud Storage che vuoi concedere.
objectViewerper estrarre le immaginilegacyBucketWriterEseguire il push e il pull delle immagini
- BUCKET_NAME è il nome del
bucket Cloud Storage nel formato
Ad esempio, questo comando concede all'account di servizio
my-account@my-project.iam.gserviceaccount.comle autorizzazioni per spingere e estrarre le immagini nel bucketmy-example-bucket:gcloud storage buckets add-iam-policy-binding gs://my-example-bucket \ --member=serviceAccount:my-account@my-project.iam.gserviceaccount.com \ --role=roles/storage.objectUserIl comando
gcloud storage buckets add-iam-policy-bindingmodifica le autorizzazioni IAM del bucket di archiviazione in cui è ospitato il registry. Altri esempi sono disponibili nella documentazione dell'interfaccia a riga di comando gcloud.Se stai configurando l'accesso per le VM Compute Engine o per i nodi GKE che spingeranno le immagini in Container Registry, consulta Configurazione di VM e cluster per ulteriori passaggi di configurazione.
Configurare l'accesso pubblico alle immagini
Container Registry è accessibile pubblicamente se il bucket di archiviazione sottostante della posizione dell'host è accessibile pubblicamente. All'interno di un progetto, tutte le immagini in ogni posizione dell'host sono pubbliche o meno. All'interno dell'host di un progetto, non è possibile pubblicare solo determinate immagini. Se hai immagini specifiche che vuoi rendere pubbliche:
- Tienili in una posizione host separata che rendi pubblica oppure
- Crea un nuovo progetto per contenere le immagini pubblicamente accessibili.
Per pubblicare le immagini container, rendi pubblicamente accessibile il bucket di archiviazione sottostante seguendo questi passaggi:
Assicurati di aver eseguito il push di un'immagine in Container Registry in modo che esista il bucket di archiviazione sottostante.
Trova il nome del bucket Cloud Storage per quel registry. Per farlo, elenca i bucket:
gcloud storage lsL'URL del bucket Container Registry sarà indicato come
gs://artifacts.PROJECT-ID.appspot.comogs://STORAGE-REGION.artifacts.PROJECT-ID.appspot.com, dove:- PROJECT-ID è il tuo Google Cloud ID progetto. I progetti basati su dominio avranno il nome di dominio all'interno dell'ID progetto.
- STORAGE-REGION è la posizione del bucket di archiviazione:
usper i registry nell'hostus.gcr.ioeuper i registry nell'hosteu.gcr.ioasiaper i registry nell'hostasia.gcr.io
Rendi pubblico il bucket di archiviazione del Container Registry eseguendo il seguente comando. Questo comando renderà tutte le immagini del bucket accessibili pubblicamente.
gcloud storage buckets add-iam-policy-binding gs://BUCKET-NAME \ --member=allUsers --role=roles/storage.objectViewerdove:
gs://BUCKET-NAMEè l'URL del bucket di Container Registry
Rimuovere l'accesso pubblico alle immagini
Console
Assicurati di aver eseguito il push di un'immagine in Container Registry in modo che esista il bucket di archiviazione sottostante.
Apri la pagina Container Registry nella Google Cloud console.
Nel riquadro a sinistra, fai clic su Impostazioni.
Nella pagina Impostazioni, in Accesso pubblico, imposta la visibilità su Privata. Questa impostazione controlla l'accesso al bucket di archiviazione sottostante.
gcloud storage
Trova il nome del bucket Cloud Storage per quel registry. Per farlo, elenca i bucket:
gcloud storage lsL'URL del bucket Container Registry sarà indicato come
gs://artifacts.PROJECT-ID.appspot.comogs://STORAGE-REGION.artifacts.PROJECT-ID.appspot.com, dove:- PROJECT-ID è il tuo Google Cloud ID progetto della console. I progetti basati su dominio avranno il nome di dominio all'interno dell'ID progetto.
- STORAGE-REGION è la posizione del bucket di archiviazione:
usper i registry nell'hostus.gcr.ioeuper i registry nell'hosteu.gcr.ioasiaper i registry nell'hostasia.gcr.io
Per rimuovere l'accesso pubblico al bucket di archiviazione, esegui il seguente comando nella shell o nella finestra del terminale:
gcloud storage bucket remove-iam-policy-binding gs://BUCKET-NAME \ --member=allUsers --role=roles/storage.objectViewer
dove:
BUCKET-NAMEè il nome del bucket desiderato
Revocare le autorizzazioni
Per revocare le autorizzazioni IAM:
Console
- Visita la pagina Cloud Storage nella Google Cloud console.
Fai clic sul link
artifacts.PROJECT-ID.appspot.comoSTORAGE-REGION.artifacts.PROJECT-ID.appspot.comper il bucket. Qui, PROJECT-ID è il Google Cloud ID progetto del progetto che ospita Container Registry e STORAGE-REGION è la regione multipla (asia,euous) del registro che ospita l'immagine.Seleziona la scheda Autorizzazioni.
Fai clic sull'icona del cestino accanto a qualsiasi entità principale da rimuovere.
gcloud
Esegui il seguente comando nella shell o nella finestra del terminale:
gcloud storage bucket remove-iam-policy-binding gs://BUCKET-NAME \
--member=PRINCIPAL --all
dove:
BUCKET-NAMEè il nome del bucket desiderato- PRINCIPAL può essere uno dei seguenti:
user:EMAIL-ADDRESSper un Account GoogleserviceAccount:EMAIL-ADDRESSper un account di servizio IAMgroup:EMAIL-ADDRESSper un gruppo Google.allUsersper revocare l'accesso pubblico
Eseguire l'integrazione con i Google Cloud servizi
Per la maggior parte dei Google Cloud service account, la configurazione dell'accesso a un registry richiede solo la concessione delle autorizzazioni IAM appropriate.
Autorizzazioni predefinite per i Google Cloud servizi
Google Cloud servizi come Cloud Build o Google Kubernetes Engine utilizzano un account di servizio predefinito o un agente di servizio per interagire con le risorse all'interno dello stesso progetto.
Devi configurare o modificare le autorizzazioni autonomamente se:
- Il Google Cloud servizio si trova in un progetto diverso da Container Registry.
- Le autorizzazioni predefinite non soddisfano le tue esigenze. Ad esempio, l'account di servizio Compute Engine predefinito ha accesso di sola lettura allo spazio di archiviazione nello stesso progetto. Se vuoi eseguire il push di un'immagine dalla VM a un registry, devi modificare le autorizzazioni per l'account di servizio della VM o autenticarti nel registry con un account che abbia accesso in scrittura allo spazio di archiviazione.
- Utilizzi un account di servizio personalizzato per interagire con Container Registry
In genere, i seguenti account di servizio accedono a Container Registry. L'ID o il numero di progetto Google Clouddel progetto in cui è in esecuzione il servizio.
| Servizio | Service account | Indirizzo email | Autorizzazioni |
|---|---|---|---|
| Ambiente flessibile di App Engine | Account di servizio predefinito di App Engine | PROJECT-ID@appspot.gserviceaccount.com | Ruolo Editor, può leggere e scrivere nello spazio di archiviazione |
| Compute Engine | Account di servizio predefinito Compute Engine | PROJECT-NUMBER-compute@developer.gserviceaccount.com | Ruolo Editor, limitato all'accesso in sola lettura allo spazio di archiviazione |
| Cloud Build | Account di servizio Cloud Build | PROJECT-NUMBER@cloudbuild.gserviceaccount.com | Le autorizzazioni predefinite include la creazione di bucket di archiviazione e l'accesso in lettura e scrittura allo spazio di archiviazione. |
| Cloud Run | Account di servizio predefinito Compute Engine L'account di servizio di runtime predefinito per le revisioni. |
PROJECT-NUMBER-compute@developer.gserviceaccount.com | Ruolo Editor, limitato all'accesso in sola lettura allo spazio di archiviazione |
| GKE | Account di servizio predefinito Compute Engine L'account di servizio predefinito per i nodi. |
PROJECT-NUMBER-compute@developer.gserviceaccount.com | Ruolo Editor, limitato all'accesso in sola lettura allo spazio di archiviazione |
Configura le VM e i cluster per inviare le immagini
Compute Engine e qualsiasi Google Cloud servizio che utilizza Compute Engine hanno l'account di servizio predefinito di Compute Engine come identità predefinita.
Sia le autorizzazioni IAM che gli ambiti di accesso influiscono sulla capacità delle VM di leggere e scrivere nello spazio di archiviazione.
- Le autorizzazioni IAM determinano l'accesso alle risorse.
- Gli ambiti di accesso determinano gli ambiti OAuth predefiniti per le richieste effettuate tramite gcloud CLI e le librerie client su un'istanza VM. Di conseguenza, gli ambiti di accesso possono limitare ulteriormente l'accesso ai metodi dell'API durante l'autenticazione con le credenziali predefinite dell'applicazione.
- Per eseguire il pull di un'immagine privata, l'account di servizio VM deve disporre dell'
readautorizzazione per il bucket di archiviazione dell'immagine. - Per eseguire il push di immagini private, l'account di servizio della VM deve avere l'ambito di accesso
read-write,cloud-platformofull-controlper il bucket di archiviazione dell'immagine.
- Per eseguire il pull di un'immagine privata, l'account di servizio VM deve disporre dell'
L'account di servizio predefinito di Compute Engine ha il ruolo Editor per impostazione predefinita, che include le autorizzazioni per creare e aggiornare le risorse per la maggior parte dei Google Cloud servizi. Tuttavia, sia per l'account di servizio predefinito sia per un account di servizio personalizzato associato a una VM, l'ambito di accesso predefinito per i bucket di archiviazione è di sola lettura. Ciò significa che per impostazione predefinita le VM non possono spingere le immagini.
Se intendi eseguire il deployment di immagini solo in ambienti come Compute Engine e GKE, non devi modificare l'ambito di accesso. Se vuoi eseguire applicazioni in questi ambienti che inviano immagini al registry, devi eseguire una configurazione aggiuntiva.
Le seguenti configurazioni richiedono modifiche alle autorizzazioni IAM o alla configurazione dell'ambito di accesso.
- Caricamento di immagini da una VM o un cluster
- Se vuoi eseguire il push delle immagini, l'account di servizio dell'istanza VM deve avere l'ambito
storage-rwanzichéstorage-ro. - La VM e Container Registry si trovano in progetti separati
- Devi concedere all'account di servizio le autorizzazioni IAM per accedere al bucket di archiviazione utilizzato da Container Registry.
- Eseguire i comandi
gcloudsulle VM - L'account di servizio deve avere l'ambito
cloud-platform. Questo ambito concede le autorizzazioni per eseguire il push e il pull delle immagini, nonché per eseguire i comandigcloud.
I passaggi per configurare gli ambiti sono riportati nelle sezioni seguenti.
Configura gli ambiti per le VM
Per impostare gli ambiti di accesso durante la creazione di una VM, utilizza l'opzione --scopes.
gcloud compute instances create INSTANCE --scopes=SCOPE
Dove
- INSTANCE è il nome dell'istanza VM.
- SCOPE è l'ambito che vuoi configurare per l'account di servizio VM:
- Estrazione delle immagini:
storage-ro - Esegui il pull e il push delle immagini:
storage-rw - Esegui il pull e il push delle immagini, esegui i comandi gcloud:
cloud-platform
- Estrazione delle immagini:
Per modificare gli ambiti di un'istanza VM esistente:
Imposta l'ambito di accesso con l'opzione --scopes.
Arresta l'istanza VM. Consulta Arrestare un'istanza.
Modifica l'ambito di accesso con il seguente comando.
gcloud compute instances set-service-account INSTANCE --scopes=SCOPEDove
- INSTANCE è il nome dell'istanza VM.
- SCOPE è l'ambito che vuoi configurare per l'account di servizio VM:
- Estrazione delle immagini:
storage-ro - Esegui il pull e il push delle immagini:
storage-rw - Esegui il pull e il push delle immagini, esegui i comandi gcloud:
cloud-platform
- Estrazione delle immagini:
Riavvia l'istanza VM. Consulta Avvio di un'istanza interrotta.
Se vuoi utilizzare un account di servizio personalizzato per le VM anziché l'account di servizio predefinito, puoi specificare l'account di servizio e gli ambiti di accesso da utilizzare quando crei la VM o modifichi le impostazioni della VM.
Configura gli ambiti per i cluster Google Kubernetes Engine
Per impostazione predefinita, i nuovi cluster GKE vengono creati con autorizzazioni di sola lettura per i bucket Cloud Storage.
Per impostare l'ambito di archiviazione read-write quando crei un cluster Google Kubernetes Engine, utilizza l'opzione --scopes.
Ad esempio, il seguente comando crea un cluster con gli ambiti
bigquery, storage-rw e compute-ro:
gcloud container clusters create example-cluster \
--scopes=bigquery,storage-rw,compute-ro
Per ulteriori informazioni sugli ambiti che puoi impostare durante la creazione di un nuovo cluster, consulta la documentazione del comando gcloud container clusters create.
L'account di servizio Container Registry
Container Registry Service Agent agisce per conto di Container Registry quando interagisce con i Google Cloud servizi. L'agente di servizio dispone dell'insieme minimo di autorizzazioni richieste se hai attivato l'API Container Registry dopo il 5 ottobre 2020. L'agente di servizio aveva precedentemente il ruolo Editor. Per ulteriori informazioni sull'agente di servizio e sulla modifica delle relative autorizzazioni, consulta Account di servizio Container Registry.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni di Container Registry in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Prova Container Registry gratuitamente