Compute Engine kann Container direkt aus Artifact Registry-Repositories abrufen.
Erforderliche Berechtigungen
Das Compute Engine-Dienstkonto hat standardmäßig die Berechtigung „Bearbeiter“ für Ressourcen im selben Projekt und für den read-only
-Zugriffsbereich von Storage-Buckets in Cloud Storage.
Die Bearbeiterberechtigungen gewähren zwar Schreibzugriff, aber der Zugriffsbereich read-only
der VM-Instanz beschränkt das Herunterladen von Artefakten aus Repositories im selben Projekt.
Sie müssen die entsprechenden Berechtigungen und Zugriffsbereiche selbst configure, wenn Sie weitere Anforderungen haben. Beispiel:
- Sie möchten, dass die VM-Instanz in Repositories hochgeladen wird. In diesem Fall müssen Sie einen Zugriffsbereich mit Schreibzugriff auf den Speicher konfigurieren:
read-write
,cloud-platform
oderfull-control
. - Die VM-Instanz befindet sich in einem anderen Projekt als die Repositories, auf die Sie zugreifen möchten. Weisen Sie in dem Projekt mit den Repositories dem Dienstkonto der Instanz die erforderlichen Berechtigungen zu.
- Die Repositories befinden sich im selben Projekt, aber Sie möchten nicht, dass das Standarddienstkonto in allen Repositories dieselbe Zugriffsebene hat. In diesem Fall müssen Sie die entsprechenden Berechtigungen auf Repository-Ebene erteilen und die Artifact Registry-Berechtigungen auf Projektebene widerrufen.
- Die VM ist einem benutzerdefinierten Dienstkonto zugeordnet. Prüfen Sie, ob das Dienstkonto über die erforderlichen Berechtigungen und den Zugriffsbereich verfügt.
- Sie verwenden benutzerdefinierte Rollen, um Berechtigungen zu gewähren, und die benutzerdefinierte Rolle enthält nicht die erforderlichen Artifact Registry-Berechtigungen. Fügen Sie der Rolle die erforderlichen Berechtigungen hinzu.