Compute Engine puede extraer contenedores directamente de los repositorios de Artifact Registry.
Permisos necesarios
De forma predeterminada, la cuenta de servicio de Compute Engine tiene permiso de editor en los recursos del mismo proyecto y el permiso de acceso read-only
en los buckets de almacenamiento de Cloud Storage.
Si bien los permisos de editor suelen otorgar acceso de escritura, el permiso de acceso read-only
limita la cuenta de servicio de la instancia de VM para descargar artefactos de repositorios en el mismo proyecto.
Debes configure los permisos y los permisos de acceso adecuados si tienes otros requisitos. Por ejemplo:
- Deseas que la instancia de VM se suba a repositorios. En este caso, debes configurar un permiso de acceso con acceso de escritura al almacenamiento:
read-write
,cloud-platform
ofull-control
. - La instancia de VM se encuentra en un proyecto diferente al de los repositorios a los que deseas acceder. En el proyecto con los repositorios, otorga los permisos necesarios a la cuenta de servicio de la instancia.
- Los repositorios se encuentran en el mismo proyecto, pero no quieres que la cuenta de servicio predeterminada tenga el mismo nivel de acceso en todos los repositorios. En este caso, debes otorgar los permisos adecuados al nivel de repositorio y revocar los permisos de Artifact Registry a nivel de proyecto.
- La VM está asociada con una cuenta de servicio personalizada. Asegúrate de que la cuenta de servicio tenga los permisos y el permiso de acceso necesarios.
- Usas funciones personalizadas para otorgar permisos, y la función personalizada no incluye los permisos necesarios de Artifact Registry. Agrega los permisos necesarios a la función.