Artifact Registry Service Agent 会代表 与 Google Cloud 服务交互时的 Artifact Registry。
在存储分区中创建第一个 Artifact Registry 代码库后 Google Cloud 项目、Artifact Registry Service Agent 系统会自动创建服务代理标识符为:
service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com
PROJECT-NUMBER 是运行 Artifact Registry 的 Google Cloud 项目的项目编号。
您可以使用以下命令在没有任何代码库的项目中手动创建服务账号:
gcloud beta services identity create \
--service=artifactregistry.googleapis.com \
--project=PROJECT-ID
将 PROJECT-ID 替换为 Google Cloud 项目 ID。
为 Artifact Registry Service Agent 授予项目中资源的 Artifact Registry Service Agent 角色 (roles/artifactregistry.serviceAgent)。为了实施最小权限安全原则,
具备以下最低权限:
- 发布 Pub/Sub 主题:
pubsub.topics.publish - 从 Artifact Registry 代码库下载制品:
artifactregistry.repositories.downloadArtifacts - 删除工件:
artifactregistry.versions.delete
后续步骤
了解 Artifact Registry 角色以及配置对代码库的访问权限。