Кто-нибудь нашел обходной путь, чтобы запретить пользователю извлекать изображения из реестра контейнеров Google только с ролью Viewer ??? Ограничение политики IAM пока не поддерживает отказ в ведении хранилища. Хотите знать, как решить эту проблему, разрешив пользователю с ролью наблюдателя просматривать ресурсы GCP.
Роль GCP только для чтения (роль зрителя) позволяет извлекать изображения из реестра контейнеров Google.
Ответы (2)
Члены группы "зритель" имеют разрешение на чтение объектов в корзине артефактов, поскольку они являются читателями в устаревший ACL для сегмента (и всех новых сегментов по умолчанию). Поэтому вам нужно исправить это, изменив устаревший ACL, а не IAM ACL:
- Перейдите на страницу https://console.cloud.google.com/storage/browser?project=your-project-123
- Изменить права доступа к сегменту (-ам) артефактов
- Удалите "Viewers of project: your-project-123" из "Storage Legacy Bucket Reader"
Возможно, в будущем эта функция станет управляемой IAM (в этом случае настраиваемый IAM роль будет решением).
person
David
schedule
10.10.2018
Дэйв, спасибо, что нашли время ответить. После удаления разрешения Storage Legacy Bucket Reader и Storage Legacy Bucket Owner, я все еще могу загружать изображения из реестра контейнеров Google ТОЛЬКО с разрешением Viewer. Довольно пугающий недостаток от GCP.
- person Lee.Tan; 11.10.2018
Есть ли еще какие-нибудь ведра с «артефактом» в названии? например
us.artifacts.your-project-123.appspot.com
? Возможно, вам придется удалить у всех устаревшее разрешение чтения корзины.
- person David; 11.10.2018
нет, у меня есть только одна корзина для этого протестированного проекта.
- person Lee.Tan; 11.10.2018
Другое решение - создать настраиваемую роль. В этой настраиваемой роли вы можете добавить все разрешения, включенные в роль Viewer, и в то же время запретить доступ к Bucket, не предоставив определенные разрешения для сегмента.
person
Mahmoud Sharif
schedule
16.10.2018
но тогда запрет доступа к корзинам остановит пользователя с ролью зрителя для просмотра данных в корзине, верно?
- person Lee.Tan; 17.10.2018
Да, это правильно. Вам нужно будет создать роль клиента с тем же разрешением, что и в Viewer, но затем удалить роли, которые предоставляют ему доступ к корзине.
- person Mahmoud Sharif; 18.10.2018
Спасибо. Я думаю, что это хороший вопрос, чтобы сообщить GCP. Должен быть способ разрешить пользователю просматривать сегменты и запрещать загрузку любых образов контейнеров.
- person Lee.Tan; 18.10.2018
Вы можете сообщить об этом GCP, создав новую проблему в общедоступном средстве отслеживания проблем. Специалист GCP рассмотрит ваш запрос.
- person Mahmoud Sharif; 21.10.2018