Artifact Registry サービス エージェントは、Google Cloud サービスを操作するときに Artifact Registry の代理として動作します。
Google Cloud プロジェクトの最初の Artifact Registry リポジトリを作成すると、Artifact Registry サービス エージェントが自動的に作成されます。このサービス エージェント ID は次のとおりです。
service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com
PROJECT-NUMBER は、Artifact Registry が実行されている Google Cloud プロジェクトのプロジェクト番号です。
次のコマンドを使用すると、リポジトリなしでプロジェクトでサービス アカウントを手動で作成できます。
gcloud beta services identity create \
--service=artifactregistry.googleapis.com \
--project=PROJECT-ID
PROJECT-ID は、Google Cloud プロジェクト ID に置き換えます。
Artifact Registry サービス エージェントには、プロジェクト内のリソースに対する Artifact Registry サービス エージェントのロール(roles/artifactregistry.serviceAgent)が付与されます。最小権限のセキュリティ原則を実施するため、このロールには最小権限の原則のみが付与されています。
- Pub/Sub トピックを公開します:
pubsub.topics.publish - Artifact Registry リポジトリからアーティファクトをダウンロードします:
artifactregistry.repositories.downloadArtifacts - アーティファクトを削除します:
artifactregistry.versions.delete
次のステップ
Artifact Registry のロールとリポジトリへのアクセスの構成について学習する。