Compute Engine può estrarre i container direttamente dai repository Artifact Registry.
Autorizzazioni obbligatorie
Per impostazione predefinita, l'account di servizio Compute Engine dispone dell'autorizzazione Editor per le risorse nello stesso progetto e dell'ambito di accesso read-only per i bucket di archiviazione Cloud Storage.
Mentre le autorizzazioni Editor generalmente consentono l'accesso in scrittura, l'ambito di accesso read-only limita l'account di servizio dell'istanza VM al download degli artefatti dai repository nello stesso progetto.
Devi configure autonomamente le autorizzazioni e gli ambiti di accesso appropriati se disponi di altri requisiti. Ad esempio:
- Vuoi che l'istanza VM venga caricata nei repository. In questo caso, devi configurare un ambito di accesso con accesso in scrittura allo spazio di archiviazione:
read-write,cloud-platformofull-control. - L'istanza VM si trova in un progetto diverso dai repository a cui vuoi accedere. Nel progetto con i repository, concedi le autorizzazioni richieste all'account di servizio dell'istanza.
- I repository si trovano nello stesso progetto, ma non vuoi che l'account di servizio predefinito abbia lo stesso livello di accesso a tutti i repository. In questo caso, devi concedere le autorizzazioni appropriate a livello di repository e revocare le autorizzazioni di Artifact Registry a livello di progetto.
- La VM è associata a un account di servizio personalizzato. Assicurati che l'account di servizio disponga delle autorizzazioni e dell'ambito di accesso richiesti.
- Stai utilizzando ruoli personalizzati per concedere autorizzazioni e il ruolo personalizzato non include le autorizzazioni Artifact Registry richieste. Aggiungi le autorizzazioni richieste al ruolo.