无法使用更精细的角色来搜索托管容器注册表帐户 - service-[PROJECT_NUMBER]@containerregistry.iam.gserviceaccount.com。不确定是否有人可以对此有所了解。
当您启用 google 容器注册表 API 时,该服务帐户似乎默认分配有一个原始角色“编辑器”,并且您无法将其更改为更精细的内容,例如 cloudbuild.gserviceaccount.com
谷歌关于 cloudbuild 的文档 https://cloud.google.com/cloud-build/docs/securing-builds/set-service-account-permissions
但关于容器注册表的信息不多 https://cloud.google.com/container-registry/docs/overview
GCR 服务帐户使用我们的合规工具拾取的编辑角色。这对于 GCR 访问权限太大了。