Container Registry는 지원 중단되었으며 종료될 예정입니다. 2024년 5월 15일 이후에는 이전에 Container Registry를 사용하지 않은 프로젝트의 gcr.io 도메인 이미지를 Artifact Registry에서 호스팅합니다. 2025년 3월 18일 이후에는 Container Registry가 종료됩니다.

Google Cloud에서 컨테이너 관리를 시작하려면 Artifact Registry를 사용하세요. Container Registry를 사용하는 경우 Artifact Registry로 전환하여 Google Cloud에서 컨테이너를 관리하는 방법을 알아보세요.

지원 중단 및 종료에 대한 자세한 내용은 지원 중단 페이지와 출시 노트를 참조하세요.

Container Registry 서비스 계정

Container Registry 서비스 에이전트는 Google Cloud 서비스와 상호작용할 때 Container Registry를 대신하여 동작하는 Google 관리형 서비스 계정입니다.

최소 권한의 보안 원칙을 적용하도록 이 서비스 계정에 2020년 10월 5일 이후에 Container Registry API가 사용 설정된 프로젝트의 Container Registry 서비스 에이전트 역할이 부여됩니다. 이 역할에는 다음 권한이 있습니다.

주제 게시: pubsub.topics.publish
스토리지 객체 ACL 읽기: storage.objects.getIamPolicy
스토리지 객체 데이터 및 메타데이터 읽기: storage.objects.get
버킷의 스토리지 객체 나열 및 객체 메타데이터 읽기: storage.objects.list

이전에 Container Registry 서비스 계정에 편집자 역할이 부여되었습니다. 편집자 역할은 프로젝트에서 대부분의 리소스를 만들고 삭제할 수 있는 권한을 부여하므로 Container Registry 서비스 계정에 이 역할이 있으면 권한을 제한하는 것이 좋습니다.

서비스 계정 ID 찾기

Container Registry 서비스 계정의 ID는 다음과 같습니다.

service-[PROJECT_NUMBER]@containerregistry.iam.gserviceaccount.com

서비스 계정을 찾으려면 프로젝트에 액세스할 수 있는 주 구성원 목록을 확인합니다.

Console

IAM 페이지로 이동합니다.
Google 관리 계정을 주 구성원 목록에 추가하려면 Google 제공 역할 부여 포함 체크박스를 선택합니다.
목록을 필터링하려면 필터 필드에 containerregistry를 입력합니다.

gcloud

다음 명령어를 실행하여 containerregistry 문자열이 포함된 주 구성원을 나열합니다.

gcloud projects get-iam-policy PROJECT-ID \
    --flatten="bindings[].members"
    --filter="containerregistry"

PROJECT-ID를 Google Cloud 프로젝트 ID로 바꿉니다.

현재 권한 확인

Container Registry 서비스 계정의 현재 권한을 확인하려면 다음 명령어를 실행합니다.

gcloud projects get-iam-policy PROJECT-ID  \
    --flatten="bindings[].members" \
    --format='table(bindings.role)' \
    --filter="bindings.members:service-PROJECT-NUMBER@containerregistry.iam.gserviceaccount.com"

각 항목의 의미는 다음과 같습니다.

PROJECT-ID는 Google Cloud 프로젝트 ID입니다.
PROJECT-NUMBER는 Google Cloud 프로젝트 번호입니다.

Google Cloud Console에서 또는 다음 명령어를 사용하여 프로젝트 ID와 프로젝트 번호를 가져올 수 있습니다.

PROJECT=$(gcloud config get-value project)
echo $PROJECT && gcloud projects list --filter="$PROJECT" --format="value(PROJECT_NUMBER)"

권한 변경

Container Registry 서비스 에이전트 역할을 부여하고 편집자 역할을 취소하려면 다음 안내를 따르세요.

다음 명령어를 사용하여 Container Registry 서비스 에이전트 역할을 부여합니다.

gcloud projects add-iam-policy-binding PROJECT-ID \
--member=serviceAccount:service-PROJECT-NUMBER@containerregistry.iam.gserviceaccount.com --role=roles/containerregistry.ServiceAgent

다음 명령어를 사용하여 편집자 역할을 취소합니다.

gcloud projects remove-iam-policy-binding PROJECT-ID \
--member=serviceAccount:service-PROJECT-NUMBER@containerregistry.iam.gserviceaccount.com --role=roles/editor