1

Google Artifact Registry クイックスタートで説明されているように使用すると、アクセス許可のバグが発生します。その質問で述べたように、問題はアクセス トークンのスコープの欠落に帰着するようです。私のローカル シェルでは、スコープは次のとおりです ( で示されています)。docker pushhttps://www.googleapis.com/oauth2/v1/tokeninfo?access_token=<token>

openid https://www.googleapis.com/auth/userinfo.email https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/appengine.admin https://www.googleapis.com/auth/compute https://www.googleapis.com/auth/accounts.reauth

Cloud Shell で同じ一連の手順を実行すると、アクセス トークンのスコープがさらに多くなります。

https://www.googleapis.com/auth/userinfo.email https://www.googleapis.com/auth/appengine.admin https://www.googleapis.com/auth/bigquery https://www.googleapis.com/auth/compute https://www.googleapis.com/auth/devstorage.full_control https://www.googleapis.com/auth/devstorage.read_only https://www.googleapis.com/auth/drive https://www.googleapis.com/auth/ndev.cloudman https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/sqlservice.admin https://www.googleapis.com/auth/prediction https://www.googleapis.com/auth/projecthosting https://www.googleapis.com/auth/source.full_control https://www.googleapis.com/auth/source.read_only https://www.googleapis.com/auth/source.read_write openid"

Cloud Shell 構成とローカル構成の違いが、このスコープの違いを引き起こしている可能性があることを特定できません。これらのコマンドはすべて、両方で同じ出力になります。

$ gcloud auth list
Credentialed Accounts

ACTIVE: *
ACCOUNT: <my email address>

$ cat ~/.docker/config.json
{
  "credHelpers": {
    "gcr.io": "gcloud",
    "us.gcr.io": "gcloud",
    "eu.gcr.io": "gcloud",
    "asia.gcr.io": "gcloud",
    "staging-k8s.gcr.io": "gcloud",
    "marketplace.gcr.io": "gcloud",
    "us-central1-docker.pkg.dev": "gcloud"
  }
}

gcloud config listこれらの違いを示します。

// in Cloud Shell
[accessibility]
screen_reader = True
[component_manager]
disable_update_check = True
[compute]
gce_metadata_read_timeout_sec = 30
[core]
account = <my email address>
disable_usage_reporting = True
project = <my project>
[metrics]
environment = devshell

// on my local machine
[core]
account = <my email address>
disable_usage_reporting = True
pass_credentials_to_gsutil = false
project = <my project>

質問:

  1. とにかくスコープとは何ですか?プロジェクト プリンシパル ( ) に割り当てられた役割との関係はexample@stackoverflow.com?
  2. Cloud Shell とローカル マシンでスコープが異なる原因は何ですか? Artifact Registry にローカルで正しくアクセスできるように修正するにはどうすればよいですか?

編集

明確にするために、実行中のコマンドと表示されているエラーを次に示します。これは、上記の SO の質問とまったく同じです。コマンドは [Artifact Registry クイックスタート] ( https://cloud.google.com/artifact-registry/docs/docker/quickstart#gcloud )から直接取得できます。この質問はスコープに関するものでしたが、私の問題ではないようです。

$ gcloud auth configure-docker us-central1-docker.pkg.dev
WARNING: Your config file at [~/.docker/config.json] contains these credential helper entries:

{
  "credHelpers": {
    "gcr.io": "gcloud",
    "us.gcr.io": "gcloud",
    "eu.gcr.io": "gcloud",
    "asia.gcr.io": "gcloud",
    "staging-k8s.gcr.io": "gcloud",
    "marketplace.gcr.io": "gcloud",
    "us-central1-docker.pkg.dev": "gcloud"
  }
}
Adding credentials for: us-central1-docker.pkg.dev
gcloud credential helpers already registered correctly.


$ sudo docker tag us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0 \
us-central1-docker.pkg.dev/<my project>/quickstart-docker-repo/quickstart-image:tag1

$ sudo docker push us-central1-docker.pkg.dev/<my project>/quickstart-docker-repo/quickstart-image:tag1              
The push refers to repository [us-central1-docker.pkg.dev/<my project>/quickstart-docker-repo/quickstart-image]
260c3e3f1e70: Preparing 
e2eb06d8af82: Preparing 
denied: Permission "artifactregistry.repositories.downloadArtifacts" denied on resource "projects/qwanto/locations/us-central1/repositories/quickstart-docker-repo" (or it may not exist)
4

2 に答える 2