與 Google Cloud 服務互動時,Artifact Registry 服務代理人會代表 Artifact Registry 執行動作。
在Google Cloud 專案中建立第一個 Artifact Registry 存放區後,系統會自動建立 Artifact Registry 服務代理。服務代理 ID 如下:
service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com
PROJECT-NUMBER 是執行 Artifact Registry 的Google Cloud 專案專案編號。
您可以在專案中手動建立服務帳戶,無需使用任何存放區,請使用下列指令:
gcloud beta services identity create \
--service=artifactregistry.googleapis.com \
--project=PROJECT-ID
將 PROJECT-ID 替換為 Google Cloud 專案 ID。
系統會將 Artifact Registry 服務代理人角色 (roles/artifactregistry.serviceAgent) 授予 Artifact Registry 服務代理人,以便存取專案中的資源。為確實遵循最低權限安全性原則,角色僅具備必要的最低權限:
- 發布 Pub/Sub 主題:
pubsub.topics.publish - 從 Artifact Registry 存放區下載構件:
artifactregistry.repositories.downloadArtifacts - 刪除構件:
artifactregistry.versions.delete
後續步驟
瞭解 Artifact Registry 角色和設定存放區存取權。