O Compute Engine pode extrair contêineres diretamente dos repositórios do Artifact Registry.
Permissões necessárias
Por padrão, a conta de serviço do
Compute Engine
tem permissão de Editor para recursos no mesmo projeto e o escopo de acesso
read-only para os buckets de armazenamento do
Cloud Storage.
Enquanto as permissões de Editor geralmente concedem acesso de gravação, o escopo de acesso
read-only limita a conta de serviço da instância de VM a fazer o download de artefatos
de repositórios no mesmo projeto.
É preciso configure as permissões apropriadas e os escopos de acesso por conta própria se você tiver outros requisitos. Exemplo:
- Você quer que a instância de VM seja carregada em repositórios. Nesse caso, é preciso
configurar um escopo de acesso
com acesso de gravação ao armazenamento:
read-write,cloud-platformoufull-control. - A instância de VM está em um projeto diferente dos repositórios que você quer acessar. No projeto com os repositórios, conceda as permissões necessárias à conta de serviço da instância.
- Os repositórios estão no mesmo projeto, mas você não quer que a conta de serviço padrão tenha o mesmo nível de acesso em todos os repositórios. Nesse caso, você precisa conceder as permissões apropriadas no nível do repositório e revogar as permissões do Artifact Registry no nível do projeto.
- A VM está associada a uma conta de serviço personalizada. Verifique se a conta de serviço tem as permissões necessárias e o escopo de acesso.
- Você está usando papéis personalizados para conceder permissões e eles não incluem as permissões obrigatórias do Artifact Registry. Adicione as permissões obrigatórias ao papel.