Container Registry は非推奨で、提供終了となります。2024 年 5 月 15 日以降、Artifact Registry は、Container Registry の使用歴がないプロジェクトで gcr.io ドメインのイメージをホストします。2025 年 3 月 18 日以降、Container Registry はご利用いただけなくなります。

Google Cloud でコンテナの管理を始めるには、Artifact Registry を使用してください。Container Registry を使用している場合は、Google Cloud でコンテナを管理するために Artifact Registry に移行する方法をご覧ください。

サポート終了とシャットダウンの詳細については、サポート終了ページとリリースノートをご覧ください。

Container Registry サービスアカウント

Container Registry サービスエージェントは、Google Cloud サービスを操作するときに Container Registry の代理として動作する Google マネージドサービスアカウントです。

最小権限のセキュリティ原則を実施するため、このサービスアカウントには、2020 年 10 月 5 日以降に Container Registry API が有効になっていたプロジェクトの Container Registry サービスエージェントの役割が付与されます。この役割には次の権限があります。

トピックの公開: pubsub.topics.publish
ストレージオブジェクト ACL の読み取り: storage.objects.getIamPolicy
ストレージオブジェクトのデータとメタデータの読み取り: storage.objects.get
バケット内のストレージオブジェクトの一覧表示とオブジェクトのメタデータの読み取り: storage.objects.list

以前は、Container Registry サービスアカウントに編集者のロールが付与されていました。編集者の役割は、プロジェクト内のほとんどのリソースを作成および削除する権限を付与するため、Container Registry サービスアカウントにこの役割がある場合には、権限を制限することをおすすめします。

サービスアカウント ID の検索

Container Registry サービスアカウントには次の ID があります。

service-[PROJECT_NUMBER]@containerregistry.iam.gserviceaccount.com

サービスアカウントを見つけるには、プロジェクトにアクセスできるプリンシパルのリストを確認します。

Console

IAM ページに移動
プリンシパルのリストに Google が管理するアカウントを追加するには、[Google 提供のロール付与を含める] チェックボックスをオンにします。
リストをフィルタするには、[フィルタ] フィールドに「containerregistry」と入力します。

gcloud

文字列 containerregistry を含むプリンシパルを一覧表示するには、次のコマンドを実行します。

gcloud projects get-iam-policy PROJECT-ID \
    --flatten="bindings[].members"
    --filter="containerregistry"

PROJECT-ID は、Google Cloud プロジェクト ID に置き換えます。

現在の権限を確認する

Container Registry サービスアカウントの現在の権限を確認するには、次のコマンドを実行します。

gcloud projects get-iam-policy PROJECT-ID  \
    --flatten="bindings[].members" \
    --format='table(bindings.role)' \
    --filter="bindings.members:service-PROJECT-NUMBER@containerregistry.iam.gserviceaccount.com"

ここで

PROJECT-ID は、Google Cloud プロジェクト ID です。
PROJECT-NUMBER は、Google Cloud プロジェクト番号です。

プロジェクト ID とプロジェクト番号は、Google Cloud Console から取得するか、次のコマンドで取得できます。

PROJECT=$(gcloud config get-value project)
echo $PROJECT && gcloud projects list --filter="$PROJECT" --format="value(PROJECT_NUMBER)"

権限の変更

Container Registry サービスエージェントの役割を付与し、編集者の役割を取り消すには:

次のコマンドで、Container Registry サービスエージェントの役割を付与します。

gcloud projects add-iam-policy-binding PROJECT-ID \
--member=serviceAccount:service-PROJECT-NUMBER@containerregistry.iam.gserviceaccount.com --role=roles/containerregistry.ServiceAgent

次のコマンドで、編集者の役割を取り消します。

gcloud projects remove-iam-policy-binding PROJECT-ID \
--member=serviceAccount:service-PROJECT-NUMBER@containerregistry.iam.gserviceaccount.com --role=roles/editor

Container Registry サービス アカウント

サービス アカウント ID の検索