Der Artifact Registry-Dienst-Agent agiert im Namen von Artifact Registry, wenn er mit Google Cloud -Diensten interagiert.
Nachdem Sie das erste Artifact Registry-Repository in einemGoogle Cloud -Projekt erstellt haben, wird der Artifact Registry-Dienst-Agent automatisch erstellt. Die Dienst-Agent-ID lautet:
service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com
PROJECT-NUMBER ist die Projektnummer desGoogle Cloud -Projekts, in dem Artifact Registry ausgeführt wird.
Sie können das Dienstkonto manuell in einem Projekt ohne Repositories mit dem Befehl erstellen:
gcloud beta services identity create \
--service=artifactregistry.googleapis.com \
--project=PROJECT-ID
Ersetzen Sie PROJECT-ID durch die Google Cloud Projekt-ID.
Dem Artifact Registry-Dienst-Agent wird die Rolle „Artifact Registry-Dienst-Agent“ (roles/artifactregistry.serviceAgent) für Ressourcen im Projekt zugewiesen. Um das Sicherheitsprinzip der geringsten Berechtigung durchzusetzen, hat die Rolle nur die minimal erforderlichen Berechtigungen:
- Pub/Sub-Themen veröffentlichen:
pubsub.topics.publish - Artefakte aus Artifact Registry-Repositories herunterladen:
artifactregistry.repositories.downloadArtifacts - Artefakte löschen:
artifactregistry.versions.delete