Compute Engine peut extraire des conteneurs directement à partir des dépôts Artifact Registry.
Autorisations requises
Le compte de service Compute Engine doit avoir accès à Artifact Registry pour pouvoir récupérer des images de conteneur.
Selon la configuration de vos règles d'administration, le compte de service par défaut peut se voir attribuer automatiquement le rôle Éditeur sur votre projet. Nous vous recommandons vivement de désactiver l'attribution automatique des rôles en appliquant la contrainte de règle d'administration iam.automaticIamGrantsForDefaultServiceAccounts. Si vous avez créé votre organisation après le 3 mai 2024, cette contrainte est appliquée par défaut.
Si vous désactivez l'attribution automatique de rôles, vous devez choisir les rôles à attribuer aux comptes de service par défaut, puis attribuer ces rôles vous-même.
Si le compte de service par défaut dispose déjà du rôle Éditeur, nous vous recommandons de le remplacer par des rôles moins permissifs.Pour modifier les rôles du compte de service en toute sécurité, utilisez Policy Simulator pour voir l'impact de la modification, puis attribuez et révoquez les rôles appropriés.
Voici quelques exemples de champs d'application d'accès et de rôles requis pour différents scénarios:
- Pour extraire des images de conteneur à partir de dépôts Artifact Registry, vous devez attribuer au compte de service Compute Engine le rôle Lecteur Artifact Registry (
roles/artifactregistry.reader). Assurez-vous également que la portée d'accèsread-onlyest définie pour les buckets de stockage Cloud Storage. - Vous souhaitez que l'instance de VM importe des éléments dans des dépôts. Dans ce cas, vous devez configurer un champ d'application avec un accès en écriture au stockage:
read-write,cloud-platformoufull-control. - L'instance de VM se trouve dans un projet différent de celui des dépôts auxquels vous souhaitez accéder. Dans le projet contenant les dépôts, accordez les autorisations requises au compte de service de l'instance.
- Les dépôts se trouvent dans le même projet, mais vous ne souhaitez pas que le compte de service par défaut dispose du même niveau d'accès pour tous les dépôts. Dans ce cas, vous devez accorder les autorisations appropriées au niveau du dépôt et révoquer les autorisations Artifact Registry au niveau du projet.
- La VM est associée à un compte de service personnalisé. Assurez-vous que le compte de service dispose des autorisations et du champ d'application d'accès requis.
- Vous utilisez des rôles personnalisés pour accorder des autorisations, et le rôle personnalisé n'inclut pas les autorisations Artifact Registry requises. Ajoutez les autorisations requises au rôle.