Eu sou novo no uso do GCR. Meu caso de uso é que desejo conceder push onlyacesso a um intervalo específico do meu projeto no Google Container Registry (gcr).
Imaginei que terei que criar uma conta de serviço se quiser conceder esse acesso a vários usuários e também criar uma função específica para os mesmos.
Consegui criar uma conta de serviço, digamos test-service-account, e também criei uma função para a mesma, vamos sentar test-role.
Forneci as seguintes permissões para a função:
- armazenamento.bucket.create
- armazenamento.bucket.get
Também apliquei essa função ao test-service-account. Mas ainda assim, quando faço login no registro do docker localmente, usando
cat keyfile.json | docker login -u _json_key --password-stdin https://gcr.io
e tento empurrar a imagem, eu entendodenied: Access denied.
o que estou perdendo?
Além disso, o método atual dará test-service-accountacesso a todos os buckets. Existe uma maneira de fornecer acesso a um balde único?