google-cloud-platform - 读取/写入 Google Container Registry 所需的服务帐户的最低权限/角色是什么？

Question

我正在尝试为无人机实例创建一个服务角色，该实例构建 docker 映像并将其推送到 Google Container Registry。

它适用于角色project>owner（大概project>editor也适用）。我还没有找到一种方法来限制它只允许推送到 GCR，或者找出最小权限是什么。

Answer 1

没有权限只允许它推送到 GCR。允许推送的最低权限是“Storage Object Creator”。此权限还允许用户按照角色名称的建议写入 Google Cloud Storage。

更新：允许推送的正确最低权限（IAM 角色）是基于当前实施的“存储管理员”。