Open wata189 opened 5 days ago
Hello わたる,
2025 年 1 月 15 日より、Cloud Run では、 Cloud Run リソースを作成または更新するユーザーまたはサービス アカウントに、デプロイされたコンテナ イメージにアクセスする権限があるかどうかを明示的に検証するようになります。
この変更についてご案内するために、以下に追加情報を提供します。
知っておくべきこと 現在、Cloud Run 管理者と Cloud Run デベロッパーの IAM ロールは、同じプロジェクト内の Artifact Registry リポジトリからコンテナ イメージをデプロイする権限を暗黙的に付与します。
ただし、2025 年 1 月 15 日以降、Cloud Run リソースを作成または更新するユーザーまたはサービス アカウントには、デプロイされたコンテナ イメージにアクセスするための明示的な権限が必要になります。
あなたがすべきこと 2025 年 1 月 15 日より前に、Cloud Run リソースを作成または更新した後、このリンクを使用して監査ログで「ユーザーにはイメージへのアクセス権がありません」というエラーを探します。
デプロイ後に監査ログにエラーが表示される場合は、次のアクションが必要です。Cloud Run リソースを作成または更新するプリンシパル (ユーザーまたはサービス アカウント) に、デプロイするコンテナ イメージを含むプロジェクトまたはコンテナ リポジトリに対する Artifact Registry 読み取り ( roles/artifactregistry.reader ) IAM ロールがあることを確認します。詳細な手順については、 Artifact Registry のドキュメントを参照してください。
以下の場合には、何もする必要はありません。
Cloud Run にデプロイする人は、プロジェクト オーナーまたは編集者です。 Cloud Run にデプロイするユーザーは、すでにこのプロジェクトの Artifact Registry からイメージをプルできます。 関数またはソースを Cloud Run にデプロイしています。 Cloud Functions for Firebase または Firebase App Hosting を使用しています。 同じプロジェクトで Cloud Build トリガーを使用して継続的にデプロイしています。 デプロイ後、Cloud Run 監査ログにエラーは含まれません。 私たちはお手伝いします この変更にはある程度の計画が必要になる可能性があることを理解しており、このプロセス中は Google がサポートいたします。ご質問がある場合やサポートが必要な場合は、Google Cloud サポートにお問い合わせください。
影響を受けるプロジェクト(形式:project_id (project_number))は、以下のとおりです。
隠す-憎む (744302506396) ブックユーティリティ (451465809521) Cloud Run をお選びいただきありがとうございます。
—Google Cloud チーム
横展開も必要
wata189
commented
5 days ago wata189
commented
5 days ago
Hello わたる,
2025 年 1 月 15 日より、Cloud Run では、 Cloud Run リソースを作成または更新するユーザーまたはサービス アカウントに、デプロイされたコンテナ イメージにアクセスする権限があるかどうかを明示的に検証するようになります。
この変更についてご案内するために、以下に追加情報を提供します。
知っておくべきこと 現在、Cloud Run 管理者と Cloud Run デベロッパーの IAM ロールは、同じプロジェクト内の Artifact Registry リポジトリからコンテナ イメージをデプロイする権限を暗黙的に付与します。
ただし、2025 年 1 月 15 日以降、Cloud Run リソースを作成または更新するユーザーまたはサービス アカウントには、デプロイされたコンテナ イメージにアクセスするための明示的な権限が必要になります。
あなたがすべきこと 2025 年 1 月 15 日より前に、Cloud Run リソースを作成または更新した後、このリンクを使用して監査ログで「ユーザーにはイメージへのアクセス権がありません」というエラーを探します。
デプロイ後に監査ログにエラーが表示される場合は、次のアクションが必要です。Cloud Run リソースを作成または更新するプリンシパル (ユーザーまたはサービス アカウント) に、デプロイするコンテナ イメージを含むプロジェクトまたはコンテナ リポジトリに対する Artifact Registry 読み取り ( roles/artifactregistry.reader ) IAM ロールがあることを確認します。詳細な手順については、 Artifact Registry のドキュメントを参照してください。
以下の場合には、何もする必要はありません。
Cloud Run にデプロイする人は、プロジェクト オーナーまたは編集者です。 Cloud Run にデプロイするユーザーは、すでにこのプロジェクトの Artifact Registry からイメージをプルできます。 関数またはソースを Cloud Run にデプロイしています。 Cloud Functions for Firebase または Firebase App Hosting を使用しています。 同じプロジェクトで Cloud Build トリガーを使用して継続的にデプロイしています。 デプロイ後、Cloud Run 監査ログにエラーは含まれません。 私たちはお手伝いします この変更にはある程度の計画が必要になる可能性があることを理解しており、このプロセス中は Google がサポートいたします。ご質問がある場合やサポートが必要な場合は、Google Cloud サポートにお問い合わせください。
影響を受けるプロジェクト(形式:project_id (project_number))は、以下のとおりです。
隠す-憎む (744302506396) ブックユーティリティ (451465809521) Cloud Run をお選びいただきありがとうございます。
—Google Cloud チーム