部署令牌是 CNB 平台用于只读场景的身份凭证，可在 CI/CD 或脚本中安全地拉取仓库代码或制品，而不会暴露主账号的访问密钥。

常用于：

• 自动化脚本拉取代码或依赖制品。
• CI/CD 中免密访问仓库（仅限读取）。
• 第三方服务集成时限制为最小权限。

部署令牌创建

登录后，进入 组织设置/仓库设置/制品库设置 - 部署令牌 -> 添加部署令牌。

令牌需要的配置参数如下:

• 令牌名: 令牌名称，用于唯一标识令牌。
• 到期时间: 令牌过期时间，过期后令牌不可用。
• 授权范围: 令牌授权范围，授予令牌在账号下的可操作权限。。

完成创建后，即可获取到令牌 token。

令牌使用场景

访问代码仓库

• 用户名固定为：cnb
• 密码为添加的部署令牌

访问制品库

• 用户名固定为：cnb
• 密码为添加的部署令牌

访问 OPENAPI

详见: Open API

与访问令牌的区别

• 只读权限：只能读取仓库或制品库内容，不能创建 releases 或上传制品。
• 使用范围: 添加时所在资源层级则为令牌使用范围。部署令牌在组织下添加部署令牌使用范围则为该组织，在仓库下添加添加部署令牌使用范围则为该仓库，在制品库下添加添加部署令牌使用范围则为该制品库。
• 权限归属：访问令牌关联用户权限，部署令牌不具备用户属性，仅关联资源。
• OpenAPI 调用：部署令牌可调用 AI 相关 OpenAPI 接口。访问令牌调用 AI 相关 OpenAPI 接口时，令牌所属用户须具备仓库写权限。

默认权限规则

私有仓库/私有制品库：默认无任何权限，需要手动勾选授权范围。

公开仓库/公开制品库：默认有只读权限。

注意事项

• 部署令牌不适合写入操作（如发布、上传制品）。
• 建议定期审计令牌使用情况，删除长期未用的令牌。
• 创建时务必检查授权范围，避免因全默认导致无权限而报错。