O agente de serviço do Artifact Registry atua em nome do Artifact Registry ao interagir com serviços Google Cloud .
Depois de criar o primeiro repositório do Artifact Registry em um projetoGoogle Cloud , o agente de serviço do Artifact Registry é criado automaticamente. O identificador do agente de serviço é:
service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com
PROJECT-NUMBER é o número do projeto do Google Cloud em que o Artifact Registry está sendo executado.
É possível criar manualmente a conta de serviço em um projeto sem repositórios com o comando:
gcloud beta services identity create \
--service=artifactregistry.googleapis.com \
--project=PROJECT-ID
Substitua PROJECT-ID pelo ID do projeto Google Cloud .
O agente de serviço do Artifact Registry recebe o papel de agente de serviço do Artifact Registry (roles/artifactregistry.serviceAgent) para recursos no projeto. Para aplicar o princípio de segurança do menor privilégio, o papel tem apenas
as permissões mínimas necessárias:
- Publicar tópicos do Pub/Sub:
pubsub.topics.publish - Faça o download de artefatos dos repositórios do Artifact Registry:
artifactregistry.repositories.downloadArtifacts - Excluir artefatos:
artifactregistry.versions.delete
A seguir
Saiba mais sobre papéis do Artifact Registry e como configurar o acesso a repositórios.