Google Cloud での Artifact Registry の使用

このページでは、他の Google Cloud サービスで Artifact Registry を使用するための一般的要件の概要を説明します。

Artifact Registry リポジトリとの接続については、次の 2 種類のアクセス制御を検討する必要があります。

IAM の権限
Identity and Access Management の権限は、リソースにアクセスできる、ユーザー、サービス アカウント、その他のID を決定します。リポジトリにアクセスできる ID に Artifact Registry の権限を付与します。
アクセス スコープ
アクセス スコープは、gcloud ツールと VM インスタンスのクライアント ライブラリを介したリクエストに対してデフォルトの OAuth スコープを決定します。そのため、アクセス スコープでは、アプリケーションのデフォルト認証情報で認証する際に API メソッドへのアクセスをさらに制限できます。

通常、イメージを push または pull する Google Cloud サービスのサービス アカウントには、同じプロジェクト内のリポジトリへのアクセスが事前構成されています。次の場合は、権限をご自分で構成または変更する必要があります。

  • あるプロジェクトのサービス アカウントを使用して別のプロジェクトの Artifact Registry にアクセスしている。
  • ストレージの読み取り専用アクセス権を持つサービス アカウントを持つユーザーが、イメージの pull と push の両方ができるサービス アカウントを取得する。
  • Artifact Registry の操作にカスタム サービス アカウントを使用している。
  • Google Kubernetes Engine クラスタにデプロイしているユーザーが、Artifact Registry とのデフォルト統合を含まない バージョンの GKE を使用している。

Google Cloud への統合には以下が含まれます。