Compute Engine は、Artifact Registry リポジトリから直接コンテナを pull できます。
必要な権限
デフォルトでは、Compute Engine のサービス アカウントには、同じプロジェクト内のリソースに対する編集者権限と、Cloud Storage ストレージ バケットへの read-only アクセス スコープが含まれています。
編集者権限は通常、書き込み権限を付与するものであるのに対し、read-only アクセス スコープは、VM インスタンスのサービス アカウントに対し、アーティファクトのダウンロードは同じプロジェクトのリポジトリからのみとするよう制限します。
他の要件がある場合は、適切な権限とアクセス スコープを自分で構成する必要があります。次に例を示します。
- VM インスタンスをリポジトリにアップロードする。この場合、ストレージへの書き込みアクセス権でアクセス スコープを構成する必要があります(
read-write、cloud-platform、またはfull-control)。 - VM インスタンスが、アクセスするリポジトリとは異なるプロジェクトにある。リポジトリを含むプロジェクトで、インスタンスのサービス アカウントに必要な権限を付与します。
- 同じプロジェクトに複数のリポジトリがあり、デフォルトのサービス アカウントにはすべてのリポジトリに対して同じレベルのアクセスレベルを設定しない。この場合、リポジトリ レベルで適切な権限を付与し、プロジェクト レベルでは Artifact Registry の権限を取り消す必要があります。
- VM はカスタム サービス アカウントに関連付けられています。サービス アカウントに必要な権限とアクセス スコープがあることを確認します。
- 権限の付与にカスタムロールを使用してしている場合で、カスタムロールに必要な Artifact Registry の権限が含まれていない。必要な権限をロールに追加します。