Роль только для чтения GCP (роль зрителя) позволяет извлекать изображения из реестра контейнеров Google.

Question

Кто-нибудь нашел обходной путь, запрещающий пользователю извлекать изображения из реестра контейнеров Google только с ролью средства просмотра ???Ограничение политики Iam пока не поддерживает запрет хранилища.Хотите знать, как решить эту проблему, и в то же время разрешите роли пользователя для просмотра просматривать ресурсы GCP.

Answer 1

Другим решением будет создание пользовательской роли .В этой пользовательской роли вы можете добавить все разрешения, включенные в роль средства просмотра, и в то же время запретить доступ к корзине, не предоставляя специальные разрешения корзины .

Answer 2

Члены группы «Просмотр» имеют разрешение на чтение объектов в корзине артефактов, поскольку они являются читателями в устаревшем ACL *1002* для корзины (и по умолчанию для всех новых корзин).Таким образом, вы должны исправить это, изменив устаревший ACL, а не IAM ACL:

1. Перейдите к https://console.cloud.google.com/storage/browser?project=your-project-123
2. Редактировать разрешения корзины для группы артефактов
3. Удалите «Зрители проекта: ваш-проект-123» из «Storage Legacy Bucket Reader»

Возможно, в будущем это станет функцией, управляемой IAM (в этом случае решением будет пользовательская роль IAM ).