Compute Engine יכול לשלוף קונטיינרים ישירות ממאגרי Artifact Registry.
ההרשאות הנדרשות
לחשבון השירות של Compute Engine צריכה להיות גישה ל-Artifact Registry כדי למשוך תמונות של קונטיינרים.
בהתאם להגדרות של מדיניות הארגון, יכול להיות שחשבון השירות שמוגדר כברירת מחדל יקבל אוטומטית את התפקיד 'עריכה' בפרויקט. אנחנו ממליצים מאוד להשבית את הענקת התפקיד האוטומטית על ידי
החלת האילוץ iam.automaticIamGrantsForDefaultServiceAccounts של מדיניות הארגון. אם יצרתם את הארגון אחרי 3 במאי 2024, האילוץ הזה נאכף כברירת מחדל.
אם משביתים את הענקת התפקיד האוטומטית, צריך לקבוע אילו תפקידים להעניק לחשבונות השירות שמוגדרים כברירת מחדל, ואז להעניק את התפקידים האלה בעצמכם.
אם לחשבון השירות שמוגדר כברירת מחדל כבר יש את התפקיד Editor, מומלץ להחליף את התפקיד הזה בתפקידים עם פחות הרשאות.כדי לשנות את התפקידים בחשבון השירות בצורה בטוחה, כדאי להשתמש בסימולטור המדיניות כדי לראות את ההשפעה של השינוי, ואז להעניק ולבטל את התפקידים המתאימים.
הנה כמה דוגמאות להיקפי גישה נדרשים ולתפקידים נדרשים בתרחישים שונים:
- כדי לשלוף קובצי אימג' של קונטיינרים ממאגרי Artifact Registry, צריך להעניק לחשבון השירות של Compute Engine את תפקיד הקורא (
roles/artifactregistry.reader) ב-Artifact Registry. בנוסף, צריך לוודא שread-onlyהיקף הגישה מוגדר לקטגוריות של Cloud Storage. - אתם רוצים שמכונת ה-VM תעלה למאגרים. במקרה כזה, צריך להגדיר היקף גישה עם גישת כתיבה לאחסון:
read-write,cloud-platformאוfull-control. - המכונה הווירטואלית נמצאת בפרויקט אחר מזה של המאגרים שרוצים לגשת אליהם. בפרויקט עם המאגרים, נותנים את ההרשאות הנדרשות לחשבון השירות של המופע.
- המאגרים נמצאים באותו פרויקט, אבל אתם לא רוצים שלחשבון השירות שמוגדר כברירת מחדל תהיה אותה רמת גישה לכל המאגרים. במקרה כזה, צריך להעניק את ההרשאות המתאימות ברמת המאגר ולבטל את ההרשאות של Artifact Registry ברמת הפרויקט.
- המכונה הווירטואלית משויכת לחשבון שירות בהתאמה אישית. צריך לוודא שלחשבון השירות יש את ההרשאות הנדרשות ואת היקף הגישה הנדרש.
- אתם משתמשים בתפקידים בהתאמה אישית כדי להעניק הרשאות, אבל התפקיד בהתאמה אישית לא כולל את ההרשאות הנדרשות ל-Artifact Registry. מוסיפים לתפקיד את ההרשאות הנדרשות.