Роль GCP только для чтения (роль зрителя) позволяет извлекать изображения из реестра контейнеров Google.

Кто-нибудь нашел обходной путь, чтобы запретить пользователю извлекать изображения из реестра контейнеров Google только с ролью Viewer ??? Ограничение политики IAM пока не поддерживает отказ в ведении хранилища. Хотите знать, как решить эту проблему, разрешив пользователю с ролью наблюдателя просматривать ресурсы GCP.


google-cloud-platform google-cloud-storage google-compute-engine google-container-registry
person Lee.Tan    schedule 10.10.2018    source источник

Ответы (2)


arrow_upward
0
arrow_downward

Члены группы "зритель" имеют разрешение на чтение объектов в корзине артефактов, поскольку они являются читателями в устаревший ACL для сегмента (и всех новых сегментов по умолчанию). Поэтому вам нужно исправить это, изменив устаревший ACL, а не IAM ACL:

  1. Перейдите на страницу https://console.cloud.google.com/storage/browser?project=your-project-123
  2. Изменить права доступа к сегменту (-ам) артефактов введите описание изображения здесь
  3. Удалите "Viewers of project: your-project-123" из "Storage Legacy Bucket Reader" введите описание изображения здесь

Возможно, в будущем эта функция станет управляемой IAM (в этом случае настраиваемый IAM роль будет решением).

person David    schedule 10.10.2018
comment
Дэйв, спасибо, что нашли время ответить. После удаления разрешения Storage Legacy Bucket Reader и Storage Legacy Bucket Owner, я все еще могу загружать изображения из реестра контейнеров Google ТОЛЬКО с разрешением Viewer. Довольно пугающий недостаток от GCP. - person Lee.Tan; 11.10.2018
comment
Есть ли еще какие-нибудь ведра с «артефактом» в названии? например us.artifacts.your-project-123.appspot.com? Возможно, вам придется удалить у всех устаревшее разрешение чтения корзины. - person David; 11.10.2018
comment
нет, у меня есть только одна корзина для этого протестированного проекта. - person Lee.Tan; 11.10.2018

arrow_upward
0
arrow_downward

Другое решение - создать настраиваемую роль. В этой настраиваемой роли вы можете добавить все разрешения, включенные в роль Viewer, и в то же время запретить доступ к Bucket, не предоставив определенные разрешения для сегмента.

person Mahmoud Sharif    schedule 16.10.2018
comment
но тогда запрет доступа к корзинам остановит пользователя с ролью зрителя для просмотра данных в корзине, верно? - person Lee.Tan; 17.10.2018
comment
Да, это правильно. Вам нужно будет создать роль клиента с тем же разрешением, что и в Viewer, но затем удалить роли, которые предоставляют ему доступ к корзине. - person Mahmoud Sharif; 18.10.2018
comment
Спасибо. Я думаю, что это хороший вопрос, чтобы сообщить GCP. Должен быть способ разрешить пользователю просматривать сегменты и запрещать загрузку любых образов контейнеров. - person Lee.Tan; 18.10.2018
comment
Вы можете сообщить об этом GCP, создав новую проблему в общедоступном средстве отслеживания проблем. Специалист GCP рассмотрит ваш запрос. - person Mahmoud Sharif; 21.10.2018