이 페이지에서는 Binary Authorization에 현재 프로젝트와 다른 Google Cloud 프로젝트에 있는 정책 및 컨테이너 이미지에 액세스할 수 있는 권한을 부여하는 방법을 보여줍니다. 예를 들어 다른 프로젝트가 소유한 Artifact Registry 또는 Container Registry(지원 중단됨)저장소에서 Google Kubernetes Engine(GKE) 클러스터에 이미지를 배포하는 경우 프로젝트의 Binary Authorization 서비스에 소스 저장소의 이미지 메타데이터에 액세스할 수 있는 권한을 부여해야 합니다.
용어
이 문서에서는 다음 용어가 사용됩니다.
- 서비스 에이전트: Google Cloud 관리 서비스 계정입니다. Binary Authorization은 서비스 에이전트를 사용하여 GKE 클러스터와 같은 Google Cloud 리소스와 상호작용합니다.
- 정책 프로젝트: Binary Authorization 정책이 포함된 Google Cloud 프로젝트입니다.
- 클러스터 프로젝트: GKE 클러스터가 포함된 Google Cloud 프로젝트입니다.
- 아티팩트 프로젝트: Artifact Registry 또는 Container Registry(지원 중단됨) 저장소가 포함된 Google Cloud 프로젝트입니다.
프로젝트 간 액세스가 필요한 시나리오
다음과 같은 상황에서는 프로젝트 간 권한을 부여해야 합니다.
- 정책 프로젝트가 클러스터 프로젝트와 다릅니다.
- 클러스터 프로젝트가 아티팩트 프로젝트와 다릅니다.
시작하기 전에
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Binary Authorization API:
gcloud services enable binaryauthorization.googleapis.com
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Binary Authorization API:
gcloud services enable binaryauthorization.googleapis.com
정책 프로젝트가 다른 클러스터 프로젝트
클러스터 프로젝트의 Binary Authorization 서비스 에이전트에 정책 프로젝트에 대한 Binary Authorization 정책 평가자(roles/binaryauthorization.policyEvaluator
) 역할을 부여합니다.
gcloud projects add-iam-policy-bindingPOLICY_PROJECT_ID
\ --member="serviceAccount:service-$(gcloud projects describeCLUSTER_PROJECT_ID
--format='value(projectNumber)')@gcp-sa-binaryauthorization.iam.gserviceaccount.com" \ --role=roles/binaryauthorization.policyEvaluator
다음을 바꿉니다.
POLICY_PROJECT_ID
: 정책이 포함된 프로젝트의 ID입니다.CLUSTER_PROJECT_ID
: 클러스터의 프로젝트 ID입니다.
아티팩트 프로젝트와 다른 클러스터 프로젝트
클러스터 프로젝트의 Binary Authorization 서비스 에이전트에 아티팩트 프로젝트에 대한 Artifact Registry 리더(roles/artifactregistry.reader
) 역할을 부여합니다.
gcloud projects add-iam-policy-bindingARTIFACT_PROJECT_ID
\ --member="serviceAccount:service-$(gcloud projects describeCLUSTER_PROJECT_ID
--format='value(projectNumber)')@gcp-sa-binaryauthorization.iam.gserviceaccount.com" \ --role=roles/artifactregistry.reader
다음을 바꿉니다.
ARTIFACT_PROJECT_ID
: Artifact Registry 저장소가 포함된 프로젝트의 ID입니다.CLUSTER_PROJECT_ID
: GKE 클러스터를 실행하는 프로젝트 ID입니다.