2
ドッカーイメージを作成してGoogle Container Registryにプッシュした無人インスタンスのサービスロールを作成しようとしています。Googleコンテナレジストリの読み書きに必要なサービスアカウントの最小限のアクセス許可/ロールは何ですか?
ロールproject>ownerと動作します(おそらくproject>editorも機能します)。私はそれをGCRにプッシュする権限を持つことだけを制限する方法を見つけることができず、最小限の権限が何であるかを知ることができませんでした。
残念ながら、 "Storage> Object Creator"ロールでサービスキーを使用すると、私は引き続きパーミッションが拒否されます。 "Project> Editor"は動作しますが、JSONキーの範囲を制限することは素晴らしいことです。 –
GCRにプッシュするときにバケットを作成する必要はありますか?私。 gcr.io/foo/bar:some_tagは、プッシュしようとしたときに新しいバケット「foo」です(または、別の言葉では、サービスロールが試行されたときにgcr.io/foo/some_other_imageを既に持っていますか? gcr.io/foo/bar:some_tagを押す)? – Wei
はい、レポが存在します。タグは明らかにそうではありませんが、私はそれが違いを生むのではないかと疑います。おそらく私はあなたが言っていることが完璧な意味を持っているので、私は三重チェックをしなければならないでしょう。私は尋ねることができます、あなたはそれがちょうどこの許可を持っていることを確認し、プッシュすることを得たサービスキーをテストしましたか? –