このページでは、Google Cloud ランタイム環境にアーティファクトをデプロイするための一般的な要件の概要を説明します。
考慮すべきアクセス制御には 2 つの形式があります。
- IAM 権限
- Identity and Access Management の権限によって、リソースにアクセスできるユーザー、サービス アカウント、その他の ID が決まります。リポジトリにアクセスできる ID に Artifact Registry の権限を付与します。
- アクセス スコープ
- アクセス スコープは、VM インスタンス上の gcloud CLI とクライアント ライブラリを介して行われるリクエストのデフォルトの OAuth スコープを決定します。そのため、アクセス スコープでは、アプリケーションのデフォルト認証情報で認証する際に API メソッドへのアクセスをさらに制限できます。
Google Cloud ランタイム環境は、同じプロジェクト内のリポジトリにアクセスするように事前構成されています。次の場合は、権限をご自分で構成または変更する必要があります。
- あるプロジェクトのサービス アカウントを使用して別のプロジェクトの Artifact Registry にアクセスしている。
- ストレージの読み取り専用アクセス権を持つサービス アカウントを持つユーザーが、サービス アカウントでアーティファクトのアップロードとダウンロードの両方を行う必要がある
- Artifact Registry の操作にカスタム サービス アカウントを使用している。
サービス固有の要件については、次の情報をご覧ください。