이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Compute Engine에 배포

Compute Engine은 Artifact Registry 저장소에서 직접 컨테이너를 가져올 수 있습니다.

필수 권한

Compute Engine 서비스 계정은 컨테이너 이미지를 가져오기 위해 Artifact Registry에 액세스해야 합니다.

조직 정책 구성에 따라 프로젝트에 대한 편집자 역할이 기본 서비스 계정에 자동으로 부여될 수 있습니다. iam.automaticIamGrantsForDefaultServiceAccounts 조직 정책 제약조건을 적용하여 자동 역할 부여를 중지하는 것이 좋습니다. 2024년 5월 3일 이후에 조직을 만든 경우 기본적으로 이 제약조건이 적용됩니다.

자동 역할 부여를 중지한 경우 기본 서비스 계정에 부여할 역할을 결정한 후 직접 이러한 역할을 부여해야 합니다.

기본 서비스 계정에 이미 편집자 역할이 있으면 편집자 역할을 권한이 더 낮은 역할로 바꾸는 것이 좋습니다.서비스 계정 역할을 안전하게 수정하려면 정책 시뮬레이터를 사용하여 변경사항의 영향을 확인한 후 적절한 역할을 부여하고 취소합니다.

다음은 다양한 시나리오에 필요한 액세스 범위 및 필요한 역할의 예입니다.

Artifact Registry 저장소에서 컨테이너 이미지를 가져오려면 Compute Engine 서비스 계정에 Artifact Registry 리더 역할 (roles/artifactregistry.reader)을 부여해야 합니다. 또한 Cloud Storage 스토리지 버킷에 read-only 액세스 범위가 설정되어 있는지 확인합니다.
VM 인스턴스를 저장소에 업로드하려고 합니다. 이 경우 스토리지에 대한 쓰기 액세스 권한(read-write, cloud-platform 또는 full-control)으로 액세스 범위를 구성해야 합니다.
VM 인스턴스가 액세스하려는 저장소와 다른 프로젝트에 있습니다. 저장소가 있는 프로젝트에서 인스턴스의 서비스 계정에 필요한 권한을 부여합니다.
저장소가 동일한 프로젝트에 있지만 기본 서비스 계정이 모든 저장소에 동일한 수준의 액세스 권한을 갖지 않는 것이 좋습니다. 이 경우 저장소 수준에서 적절한 권한을 부여하고 프로젝트 수준에서 Artifact Registry 권한을 취소해야 합니다.
VM은 커스텀 서비스 계정과 연결됩니다. 서비스 계정에 필요한 권한과 액세스 범위가 있는지 확인합니다.
커스텀 역할을 사용하여 권한을 부여하고 있으며 커스텀 역할에 필요한 Artifact Registry 권한이 없습니다. 필요한 권한을 역할에 추가합니다.