---
url: /zh/guide/deploy-key.md
---
`部署令牌`是 CNB 平台用于只读场景的身份凭证，可在 CI/CD 或脚本中安全地拉取仓库代码或制品，而不会暴露主账号的访问密钥。

常用于：

* 自动化脚本拉取代码或依赖制品。
* CI/CD 中免密访问仓库（仅限读取）。
* 第三方服务集成时限制为最小权限。

## 部署令牌创建

登录后，进入 `组织设置/仓库设置/制品库设置` - `部署令牌` -> `添加部署令牌`。

令牌需要的配置参数如下:

* 令牌名: 令牌名称，用于唯一标识令牌。
* 到期时间: 令牌过期时间，过期后令牌不可用。
* 授权范围: 令牌授权范围，授予令牌在账号下的可操作权限。。

完成创建后，即可获取到令牌 token。

## 令牌使用场景

### 访问代码仓库

* 用户名固定为：cnb
* 密码为添加的`部署令牌`

### 访问制品库

* 用户名固定为：cnb
* 密码为添加的`部署令牌`

### 访问 OPENAPI

详见: [Open API](../develops/openapi.md)

## 与访问令牌的区别

* 只读权限：只能读取仓库或制品库内容，不能创建 releases 或上传制品。
* 使用范围: 添加时所在资源层级则为令牌使用范围。部署令牌在组织下添加部署令牌使用范围则为该组织，在仓库下添加添加部署令牌使用范围则为该仓库，在制品库下添加添加部署令牌使用范围则为该制品库。
* 权限归属：访问令牌关联用户权限，部署令牌不具备用户属性，仅关联资源。
* OpenAPI 调用：部署令牌可调用 AI 相关 OpenAPI 接口。访问令牌调用 AI 相关 OpenAPI 接口时，令牌所属用户须具备仓库写权限。

## 默认权限规则

私有仓库/私有制品库：默认无任何权限，需要手动勾选授权范围。

公开仓库/公开制品库：默认有只读权限。

## 注意事项

* 部署令牌不适合写入操作（如发布、上传制品）。
* 建议定期审计令牌使用情况，删除长期未用的令牌。
* 创建时务必检查授权范围，避免因全默认导致无权限而报错。