Compute Engine은 Artifact Registry 저장소에서 직접 컨테이너를 가져올 수 있습니다.
필수 권한
Compute Engine 서비스 계정은 컨테이너 이미지를 가져오기 위해 Artifact Registry에 액세스해야 합니다.
조직 정책 구성에 따라 프로젝트에 대한 편집자 역할이 기본 서비스 계정에 자동으로 부여될 수 있습니다. iam.automaticIamGrantsForDefaultServiceAccounts 조직 정책 제약조건을 적용하여 자동 역할 부여를 중지하는 것이 좋습니다. 2024년 5월 3일 이후에 조직을 만든 경우 기본적으로 이 제약조건이 적용됩니다.
자동 역할 부여를 중지한 경우 기본 서비스 계정에 부여할 역할을 결정한 후 직접 이러한 역할을 부여해야 합니다.
기본 서비스 계정에 이미 편집자 역할이 있으면 편집자 역할을 권한이 더 낮은 역할로 바꾸는 것이 좋습니다.서비스 계정 역할을 안전하게 수정하려면 정책 시뮬레이터를 사용하여 변경사항의 영향을 확인한 후 적절한 역할을 부여하고 취소합니다.
다음은 다양한 시나리오에 필요한 액세스 범위 및 필요한 역할의 예입니다.
- Artifact Registry 저장소에서 컨테이너 이미지를 가져오려면 Compute Engine 서비스 계정에 Artifact Registry 리더 역할 (
roles/artifactregistry.reader)을 부여해야 합니다. 또한 Cloud Storage 스토리지 버킷에read-only액세스 범위가 설정되어 있는지 확인합니다. - VM 인스턴스를 저장소에 업로드하려고 합니다. 이 경우 스토리지에 대한 쓰기 액세스 권한(
read-write,cloud-platform또는full-control)으로 액세스 범위를 구성해야 합니다. - VM 인스턴스가 액세스하려는 저장소와 다른 프로젝트에 있습니다. 저장소가 있는 프로젝트에서 인스턴스의 서비스 계정에 필요한 권한을 부여합니다.
- 저장소가 동일한 프로젝트에 있지만 기본 서비스 계정이 모든 저장소에 동일한 수준의 액세스 권한을 갖지 않는 것이 좋습니다. 이 경우 저장소 수준에서 적절한 권한을 부여하고 프로젝트 수준에서 Artifact Registry 권한을 취소해야 합니다.
- VM은 커스텀 서비스 계정과 연결됩니다. 서비스 계정에 필요한 권한과 액세스 범위가 있는지 확인합니다.
- 커스텀 역할을 사용하여 권한을 부여하고 있으며 커스텀 역할에 필요한 Artifact Registry 권한이 없습니다. 필요한 권한을 역할에 추가합니다.