本页面总结了将 Artifact Registry 与其他 Google Cloud 服务搭配使用的一般要求。
对于与 Artifact Registry 代码库之间的连接,需要考虑两种访问控制机制。
- IAM 权限
- Identity and Access Management 权限决定了可访问资源的用户、服务帐号和其他身份。您可以为可访问代码库的身份授予 Artifact Registry 权限。
- 访问权限范围 对于通过
- 访问权限范围决定了这些请求的默认 OAuth 范围。因此,在使用应用默认凭据进行身份验证时,访问权限范围可以进一步限制对 API 方法的访问。
gcloud 工具和虚拟机实例上的客户端库发出的请求,通常用于推送或拉取映像的 Google Cloud 产品服务帐号已预配置同一项目中的代码库访问权限。在下列情况下,您必须自行配置或修改权限:
- 您使用一个项目中的服务帐号访问另一个项目中的 Artifact Registry
- 您使用的服务帐号拥有对存储空间的只读权限,但您希望该服务帐号能够拉取和推送映像
- 您使用自定义服务帐号与 Artifact Registry 进行交互
- 您要部署到 Google Kubernetes Engine 集群,并且使用的 GKE 版本不包含与 Artifact Registry 的默认集成
与 Google Cloud 的集成包括: