Compute Engine은 Artifact Registry 저장소에서 직접 컨테이너를 가져올 수 있습니다.
필수 권한
기본적으로 Compute Engine 서비스 계정에는 동일한 프로젝트의 리소스에 대한 편집자 권한과 Cloud Storage 스토리지 버킷의 read-only
액세스 범위가 있습니다.
편집자 권한은 일반적으로 쓰기 액세스 권한을 부여하지만, read-only
액세스 범위는 VM 인스턴스 서비스 계정이 동일한 프로젝트의 저장소에서 아티팩트를 다운로드하도록 제한합니다.
다른 요구사항이 있는 경우 적절한 권한 및 액세스 범위를 직접 구성해야 합니다. 예를 들면 다음과 같습니다.
- VM 인스턴스를 저장소에 업로드하려고 합니다. 이 경우 스토리지에 대한 쓰기 액세스 권한(
read-write
,cloud-platform
또는full-control
)으로 액세스 범위를 구성해야 합니다. - VM 인스턴스가 액세스하려는 저장소와 다른 프로젝트에 있습니다. 저장소가 있는 프로젝트에서 인스턴스의 서비스 계정에 필요한 권한을 부여합니다.
- 저장소가 동일한 프로젝트에 있지만 기본 서비스 계정이 모든 저장소에 동일한 수준의 액세스 권한을 갖지 않는 것이 좋습니다. 이 경우 저장소 수준에서 적절한 권한을 부여하고 프로젝트 수준에서 Artifact Registry 권한을 취소해야 합니다.
- VM은 커스텀 서비스 계정과 연결됩니다. 서비스 계정에 필요한 권한과 액세스 범위가 있는지 확인합니다.
- 커스텀 역할을 사용하여 권한을 부여하고 있으며 커스텀 역할에 필요한 Artifact Registry 권한이 없습니다. 필요한 권한을 역할에 추가합니다.