L'agent de service Artifact Registry agit au nom d'Artifact Registry lors de l'interaction avec les services Google Cloud.
Après avoir créé le premier dépôt Artifact Registry dans un Projet Google Cloud, l'agent de service Artifact Registry est créée automatiquement. L'identifiant de l'agent de service est le suivant :
service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com
PROJECT-NUMBER correspond au numéro de projet du projet Google Cloud dans lequel Artifact Registry est en cours d'exécution.
Vous pouvez créer manuellement le compte de service dans un projet sans dépôts à l'aide de la commande suivante :
gcloud beta services identity create \
--service=artifactregistry.googleapis.com \
--project=PROJECT-ID
Remplacez PROJECT-ID
par l'ID du projet Google Cloud.
L'agent de service Artifact Registry bénéficie du rôle Artifact Registry
Le rôle d'agent de service (roles/artifactregistry.serviceAgent
) pour les ressources du
projet. Pour appliquer le principe de sécurité du moindre privilège, le rôle ne dispose que des autorisations minimales requises :
- Publier des sujets Pub/Sub :
pubsub.topics.publish
- Télécharger des artefacts à partir de dépôts Artifact Registry :
artifactregistry.repositories.downloadArtifacts
- Supprimer l'artefact:
artifactregistry.versions.delete
Étape suivante
Découvrez les rôles Artifact Registry et la configuration de l'accès aux dépôts.