Artifact Registry Service Agent

Artifact Registry Service Agent 在与服务交互时会代表 Artifact Registry 执行操作。 Trusted Cloud by S3NS

在Trusted Cloud 项目中创建第一个 Artifact Registry 代码库后,系统会自动创建 Artifact Registry 服务代理。服务代理标识符为:

service-PROJECT-NUMBER@gcp-sa-artifactregistry.s3ns-system.iam.gserviceaccount.com

PROJECT-NUMBER 是运行 Artifact Registry 的Trusted Cloud 项目的项目编号

您可以使用以下命令在没有任何代码库的项目中手动创建服务账号:

gcloud beta services identity create \
    --service=artifactregistry.s3nsapis.fr \
    --project=PROJECT-ID

PROJECT-ID 替换为 Trusted Cloud 项目 ID。

为 Artifact Registry Service Agent 授予项目中资源的 Artifact Registry Service Agent 角色 (roles/artifactregistry.serviceAgent)。为了强制执行最小权限安全原则,该角色仅具有最低必要权限:

  • 发布 Pub/Sub 主题:pubsub.topics.publish
  • 从 Artifact Registry 制品库下载工件:artifactregistry.repositories.downloadArtifacts
  • 删除工件:artifactregistry.versions.delete

后续步骤

了解 Artifact Registry 角色以及如何配置对代码库的访问权限