Menggunakan Gambar dari Project Lain

Halaman ini menjelaskan cara mengonfigurasi project Anda sehingga Deployment Manager dapat membuat instance virtual machine Compute Engine menggunakan image sistem operasi yang termasuk dalam project lain.

Misalnya, asumsikan Anda memiliki project bernama Awesome Project tempat Deployment Manager membuat dan mengelola instance VM. Sekarang, asumsikan Anda perlu menggunakan image pribadi yang termasuk dalam project lain bernama Database Images. Untuk memberikan akses ke gambar ini, pemilik Database Images harus memberikan peran IAM roles/compute.imageUser ke akun layanan Google API Awesome Project, dan Awesome Project kemudian dapat menggunakan gambar dari project Database Images.

Anda juga dapat menggunakan proses ini untuk memberikan grup instance terkelola akses ke image dari project lain.

Sebelum memulai

Batasan

Berikut adalah batasan untuk menggunakan fitur ini:

  • Anda harus memberikan peran compute.imageUser di tingkat project ke akun layanan Google API project Anda.
  • Memberikan peran compute.imageUser akan memberikan izin ke semua gambar dalam project tertentu. Gambar tertentu tidak dapat dibagikan.
  • Anda harus memberikan peran ini kepada pengguna tertentu, dan bukan kepada allAuthenticatedUsers atau allUsers.

Memberikan akses ke gambar

Untuk memberikan akses ke image yang termasuk dalam project lain, pemilik project yang memiliki image harus memberikan akses ke akun layanan Google API dari project yang ingin menggunakan image tersebut.

  1. Buka halaman IAM di konsol Google Cloud project yang memerlukan akses ke image pribadi milik project lain.

    Buka halaman IAM

  2. Jika diminta, pilih project Anda dari daftar. Jangan lupa untuk memilih project yang memerlukan akses ke image yang disimpan di project lain.
  3. Cari akun layanan Google API, yang memiliki alamat email dalam format berikut:

    [PROJECT_NUMBER]@cloudservices.gserviceaccount.com
    
  4. Catat alamat email di atas. Selanjutnya, pemilik project tempat gambar yang diinginkan berada dapat memberikan peran roles/compute.imageUser kepada akun layanan Google API.

    Konsol

    1. Saat masih berada di konsol Google Cloud , buka halaman IAM project yang berisi image yang ingin Anda akses.

      Buka halaman IAM

    2. Pilih project dari daftar project.
    3. Klik tombol Tambahkan untuk menambahkan anggota baru.
    4. Di kotak Anggota, masukkan alamat email akun layanan.
    5. Luaskan dropdown Roles, lalu pilih Compute Engine > Compute Image User.
    6. Klik Tambahkan untuk menambahkan akun.

    gcloud

    Dengan Google Cloud CLI, tambahkan binding ke kebijakan IAM untuk project:

    gcloud projects add-iam-policy-binding [PROJECT_ID] \
        --member serviceAccount:[SERVICE_ACCOUNT_EMAIL] --role roles/compute.imageUser

    dengan:

    • [PROJECT_ID] adalah ID project yang berisi gambar yang ingin Anda bagikan.
    • [SERVICE_ACCOUNT_EMAIL] adalah email akun layanan.

    Contoh:

    gcloud projects add-iam-policy-binding database-images \
        --member serviceAccount:123456789012@cloudservices.gserviceaccount.com  \
        --role roles/compute.imageUser

    API

    Di API, buat permintaan POST ke URL berikut, dengan [PROJECT_ID] adalah ID project yang berisi gambar yang ingin Anda bagikan.

    POST https://cloudresourcemanager.googleapis.com/v1/projects/$[PROJECT_ID]:setIamPolicy
    

    Isi permintaan harus berisi daftar binding yang ingin Anda terapkan ke project ini. Peran roles/compute.imageUser harus menjadi bagian dari binding. Contoh:

    {
       "policy": {
           "version": "0",
           "bindings": [
           {
               "role": "roles/owner",
               "members": [
                   "user:example@gmail.com"
               ]
           },
           {
               "role": "roles/compute.imageUser",
               "members": [
                   "serviceAccount:123456789012@cloudservices.gserviceaccount.com"
               ]
           }
           ]
       }
    

    }

Menggunakan gambar dari project lain dalam konfigurasi Anda

Setelah project diberi akses ke image dari project lain, pengguna project dapat menggunakan image dengan menentukan ID project yang memiliki image tersebut dalam template atau konfigurasi Anda:

image: projects/[PROJECT_ID]/global/images/[IMAGE_NAME]

Misalnya, jika project ID gambar adalah database-images, Anda dapat memberikan URI gambar berikut dalam konfigurasi Anda:

resources:
- name: a-special-vm
  type: compute.v1.instances
  properties:
    machineType: zones/us-central1-a/machineTypes/f1-micro
    image: projects/database-images/global/images/example-database-image
    ...

Setelah menambahkan gambar, selesaikan pembuatan konfigurasi, lalu deploy.

Apa langkah selanjutnya?