Учетная запись службы GCR имеет права администратора

Невозможно использовать более детализированные роли для учетной записи реестра управляемых контейнеров Google - service-[PROJECT_NUMBER]@containerregistry.iam.gserviceaccount.com. Не уверен, может ли кто-нибудь пролить свет на это.

Кажется, что этой учетной записи службы по умолчанию назначается примитивная роль "редактор", когда вы включаете API реестра контейнеров Google, и вы не можете изменить ее на что-то более детализированное, например cloudbuild.gserviceaccount.com.

Документ Google по облачной сборке https://cloud.google.com/cloud-build/docs/securing-builds/set-service-account-permissions

Но не так много информации о реестре контейнеров https://cloud.google.com/container-registry/docs/overview

Наш инструмент соответствия выбранной ролью редактора используется учетной записью службы GCR. Это слишком большое разрешение только для доступа к GCR.