Cuenta de servicio de Artifact Registry

El agente de servicio de Artifact Registry es una cuenta de servicio administrada por Google que actúa en nombre de Artifact Registry cuando interactúa con los servicios de Google Cloud.

Cuando creas el primer repositorio de Artifact Registry en un proyecto de Google Cloud, se crea automáticamente el agente de servicio de Artifact Registry. El identificador del agente de servicio es el siguiente:

service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com

PROJECT-NUMBER es el número del proyecto de Google Cloud en el que se ejecuta Artifact Registry.

Puedes crear manualmente la cuenta de servicio en un proyecto sin ningún repositorio con el siguiente comando:

gcloud beta services identity create \
    --service=artifactregistry.googleapis.com \
    --project=PROJECT-ID

Reemplaza PROJECT-ID por el ID del proyecto de Google Cloud.

Al agente de servicio de Artifact Registry se le otorga el rol de agente de servicio de Artifact Registry (roles/artifactregistry.serviceAgent) para los recursos del proyecto. Para aplicar el principio de seguridad de privilegio mínimo, la función solo cuenta con los permisos mínimos requeridos:

  • Publicar temas de Pub/Sub: pubsub.topics.publish
  • Descarga artefactos de los repositorios de Artifact Registry: artifactregistry.repositories.downloadArtifacts
  • Borrar artefactos: artifactregistry.versions.delete

¿Qué sigue?

Obtén más información sobre las funciones de Artifact Registry y la configuración del acceso a los repositorios.