O agente de serviço do Artifact Registry é uma conta serviço gerenciado pelo Google que atua em nome do Artifact Registry ao interagir com os serviços do Google Cloud.
Quando você cria o primeiro repositório do Artifact Registry em um projeto do Google Cloud, o agente de serviço do Artifact Registry é criado automaticamente. O identificador do agente de serviço é:
service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com
PROJECT-NUMBER é o número do projeto do Google Cloud em que o Artifact Registry está em execução.
É possível criar manualmente a conta de serviço em um projeto sem nenhum repositório com o comando:
gcloud beta services identity create \
--service=artifactregistry.googleapis.com \
--project=PROJECT-ID
Substitua PROJECT-ID pelo ID do projeto do Google Cloud.
O agente de serviço do Artifact Registry recebe o papel
de agente do serviço do Artifact Registry (roles/artifactregistry.serviceAgent) para recursos no
projeto. Para aplicar o princípio de segurança de privilégio mínimo, o papel tem apenas as permissões mínimas necessárias:
- Publicar tópicos do Pub/Sub:
pubsub.topics.publish - Fazer o download dos artefatos dos repositórios do Artifact Registry:
artifactregistry.repositories.downloadArtifacts - Excluir artefatos:
artifactregistry.versions.delete
A seguir
Saiba mais sobre os papéis do Artifact Registry e como configurar o acesso aos repositórios.