O agente de serviço do Artifact Registry atua em nome do Artifact Registry quando interage com os Google Cloud serviços.
Depois de criar o primeiro repositório do Artifact Registry num Google Cloud projeto, o agente de serviço do Artifact Registry é criado automaticamente. O identificador do agente do serviço é:
service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com
PROJECT-NUMBER é o número do projeto do Google Cloud projeto onde o Artifact Registry está a ser executado.
Pode criar manualmente a conta de serviço num projeto sem repositórios com o comando:
gcloud beta services identity create \
--service=artifactregistry.googleapis.com \
--project=PROJECT-ID
Substitua PROJECT-ID pelo Google Cloud ID do projeto.
Ao agente de serviço do Artifact Registry é atribuída a função de agente de serviço do Artifact Registry (roles/artifactregistry.serviceAgent) para recursos no projeto. Para aplicar o princípio de segurança do menor privilégio, a função só tem as autorizações mínimas necessárias:
- Publicar tópicos do Pub/Sub:
pubsub.topics.publish - Transfira artefactos de repositórios do Artifact Registry:
artifactregistry.repositories.downloadArtifacts - Elimine artefactos:
artifactregistry.versions.delete
O que se segue?
Saiba mais sobre as funções do Artifact Registry e a configuração do acesso a repositórios.