Вам не нужно использовать роли IAM.Это должен быть сервисный аккаунт.Вам необходимо создать служебную учетную запись, установить для нее роль редактора GCR, скачать файл JSON и отправить его своим сотрудникам.
A файл ключа JSON служебной учетной записи - это долгосрочное удостоверение, котороеотносится к конкретному проекту консоли GCP и его ресурсам.
Учетная запись службы, используемая для отправки и извлечения изображений, должна быть правильно настроена с необходимыми разрешениями и областью доступа для взаимодействия с Реестром контейнеров.
Сервисным учетным записям, автоматически создаваемым GCP, таким как учетная запись службы реестра контейнеров, предоставляется роль «чтение-запись» «Редактор» для родительского проекта.Учетная запись службы Compute Engine по умолчанию настроена на доступ только для чтения к хранилищу в том же проекте.Вы можете предоставить другим учетным записям службы более конкретные разрешения.Передача и извлечение изображений между проектами требует правильной настройки разрешений и областей доступа для учетной записи службы, которая взаимодействует с реестром контейнера.
Для получения дополнительной информации о необходимых разрешениях учетной записи службы и областях для отправки и извлечения изображений см. требования для использования реестра контейнеров с Google Cloud Platform.