640 字约 2 分钟
部署令牌是 CNB 平台用于只读场景的身份凭证,可在 CI/CD 或脚本中安全地拉取仓库代码或制品,而不会暴露主账号的访问密钥。
常用于:
- 自动化脚本拉取代码或依赖制品。
- CI/CD 中免密访问仓库(仅限读取)。
- 第三方服务集成时限制为最小权限。
部署令牌创建
登录后,进入 组织设置/仓库设置/制品库设置 - 部署令牌 -> 添加部署令牌。
令牌需要的配置参数如下:
- 令牌名: 令牌名称,用于唯一标识令牌。
- 到期时间: 令牌过期时间,过期后令牌不可用。
- 授权范围: 令牌授权范围,授予令牌在账号下的可操作权限。。
完成创建后,即可获取到令牌 token。
令牌使用场景
访问代码仓库
- 用户名固定为:cnb
- 密码为添加的
部署令牌
访问制品库
- 用户名固定为:cnb
- 密码为添加的
部署令牌
访问 OPENAPI
详见: Open API
与访问令牌的区别
- 只读权限:只能读取仓库或制品库内容,不能创建 releases 或上传制品。
- 使用范围: 添加时所在资源层级则为令牌使用范围。部署令牌在组织下添加部署令牌使用范围则为该组织,在仓库下添加添加部署令牌使用范围则为该仓库,在制品库下添加添加部署令牌使用范围则为该制品库。
- 权限归属:访问令牌关联用户权限,部署令牌不具备用户属性,仅关联资源。
- OpenAPI 调用:部署令牌可调用 AI 相关 OpenAPI 接口。访问令牌调用 AI 相关 OpenAPI 接口时,令牌所属用户须具备仓库写权限。
默认权限规则
私有仓库/私有制品库:默认无任何权限,需要手动勾选授权范围。
公开仓库/公开制品库:默认有只读权限。
注意事项
- 部署令牌不适合写入操作(如发布、上传制品)。
- 建议定期审计令牌使用情况,删除长期未用的令牌。
- 创建时务必检查授权范围,避免因全默认导致无权限而报错。