如何生成一个短期令牌从谷歌的工件注册表拉一个单一的Docker容器(最好使用节点API来生成令牌)?如何使用令牌拉容器(例如从Bash命令行)?
如何创建令牌以从Artifact中提取单个容器注册中心?
你不能在Google Cloud中实现。
在Google Cloud中,权限在项目级别(特定类型的所有资源)或单个资源级别进行管理。
您可以创建短期令牌。Google Cloud实现了OAuth 2.0访问和身份令牌,默认有效期为一小时。这可以通过ORG策略进行最多12小时的更改。要创建具有不同生存期的令牌,需要创建自己的JWT并使用服务帐户私钥进行签名,然后将签名后的JWT交换为OAuth令牌。相当容易做到,我在我的网站上写了一些关于如何做到这一点的文章。
Google Artifact Registry不支持资源(对象、映像、容器等)级别的IAM权限。这意味着您不能为单个资源(如容器映像)创建具有权限的令牌。
您可以使用单个容器映像创建单个存储库,然后仅授予对该存储库的访问权限。