このページでは、Google Cloud ランタイム環境にアーティファクトをデプロイするための一般的な要件について説明します。
検討すべきアクセス制御には次の 2 種類があります。
- IAM 権限
- Identity and Access Management の権限により、リソースにアクセスできるユーザー、サービス アカウント、その他のIDが決まります。リポジトリにアクセスできる ID に Artifact Registry 権限を付与します。
- アクセス スコープ
- アクセス スコープは、VM インスタンス上の gcloud CLI とクライアント ライブラリを介して行われるリクエストのデフォルトの OAuth スコープを決定します。そのため、アクセス スコープでは、アプリケーションのデフォルト認証情報で認証する際に API メソッドへのアクセスをさらに制限できます。
Google Cloud ランタイム環境には、同じプロジェクト内のリポジトリへのアクセスが事前構成されています。次の場合は、権限をご自分で構成または変更する必要があります。
- あるプロジェクトのサービス アカウントを使用して別のプロジェクトの Artifact Registry にアクセスしている。
- ストレージへの読み取り専用アクセス権を持つサービス アカウントを使用しているものの、アーティファクトのアップロードとダウンロードの両方を行う必要がある
- Artifact Registry の操作にカスタム サービス アカウントを使用している。
サービス固有の要件については、次の情報を参照してください。