Compute Engine 可以直接从 Artifact Registry 代码库中拉取容器。
所需权限
默认情况下,Compute Engine 的服务账号对同一项目中的资源以及对 Cloud Storage 存储分区的 read-only
访问权限范围具有 Editor 权限。
虽然 Editor 权限通常授予写入权限,但 read-only
访问权限范围仅允许虚拟机实例服务账号从同一项目中的任何代码库下载工件。
如果您有其他要求,则必须自行configure适当的权限和访问权限范围。例如:
- 您希望虚拟机实例上传到代码库。在这种情况下,您必须配置一个对存储空间具有写入权限的访问权限范围:
read-write
、cloud-platform
或full-control
。 - 虚拟机实例与您要访问的代码库不在同一项目中。在包含代码库的项目中,为该实例的服务账号授予所需权限。
- 代码库位于同一个项目中,但您不希望默认服务账号在所有代码库中都拥有相同级别的访问权限。在这种情况下,您必须在代码库级层授予适当的权限,并在项目级层撤消 Artifact Registry 权限。
- 虚拟机与自定义服务账号相关联。确保服务账号具有所需权限和访问权限范围。
- 您正在使用自定义角色授予权限,但该自定义角色不包含所需的 Artifact Registry 权限。为角色添加所需的权限。