Men-deploy ke Compute Engine

Compute Engine dapat mengambil container langsung dari repositori Artifact Registry.

Izin yang diperlukan

Akun layanan Compute Engine memerlukan akses ke Artifact Registry untuk mengambil image container.

Bergantung pada konfigurasi kebijakan organisasi Anda, akun layanan default mungkin secara otomatis diberi peran Editor di project Anda. Sebaiknya Anda menonaktifkan pemberian peran otomatis dengan menerapkan batasan kebijakan organisasi iam.automaticIamGrantsForDefaultServiceAccounts. Jika Anda membuat organisasi setelah 3 Mei 2024, batasan ini akan diterapkan secara default.

Jika Anda menonaktifkan pemberian peran otomatis, Anda harus menentukan peran mana yang akan diberikan ke akun layanan default, lalu memberikan peran tersebut secara manual.

Jika akun layanan default sudah memiliki peran Editor, sebaiknya ganti peran Editor dengan peran yang kurang permisif.Untuk mengubah peran akun layanan dengan aman, gunakan Policy Simulator untuk melihat dampak perubahan, lalu berikan dan cabut peran yang sesuai.

Beberapa contoh cakupan akses yang diperlukan dan peran yang diperlukan untuk berbagai skenario adalah sebagai berikut:

• Untuk mengambil image container dari repositori Artifact Registry, Anda harus memberikan peran Reader Artifact Registry (roles/artifactregistry.reader) ke akun layanan Compute Engine. Selain itu, pastikan cakupan akses read-only ditetapkan untuk bucket penyimpanan Cloud Storage.
• Anda ingin instance VM diupload ke repositori. Dalam hal ini, Anda harus mengonfigurasi cakupan akses dengan akses tulis ke penyimpanan: read-write, cloud-platform, atau full-control.
• Instance VM berada dalam project yang berbeda dengan repositori yang ingin Anda akses. Dalam project dengan repositori, berikan izin yang diperlukan ke akun layanan instance.
• Repositori berada dalam project yang sama, tetapi Anda tidak ingin akun layanan default memiliki tingkat akses yang sama di semua repositori. Dalam hal ini, Anda harus memberikan izin yang sesuai di level repositori dan mencabut izin Artifact Registry di level project.
• VM dikaitkan dengan akun layanan kustom. Pastikan akun layanan memiliki izin dan cakupan akses yang diperlukan.
• Anda menggunakan peran kustom untuk memberikan izin dan peran kustom tidak menyertakan izin Artifact Registry yang diperlukan. Tambahkan izin yang diperlukan ke peran.