---
url: /zh/guide/deploy-key.md
description: 介绍 CNB 平台部署令牌的概念和用途，说明如何创建只读访问凭证，适用于 CI/CD 和自动化脚本中安全拉取代码或制品。
---
`部署令牌`是 CNB 平台的只读身份凭证，适用于 CI/CD 或自动化脚本中安全拉取仓库代码或制品，避免暴露主账号密钥。

常用于：

* 自动化脚本拉取代码或依赖制品
* CI/CD 中免密访问仓库（仅限读取）
* 第三方服务集成时限制为最小权限

## 部署令牌创建

登录后，进入 `组织设置/仓库设置/制品库设置` → `部署令牌` → `添加部署令牌`，配置以下参数：

* 令牌名称：令牌的唯一标识
* 过期时间：令牌失效时间，过期后将无法使用
* 授权范围：令牌的可操作权限

## 使用场景

**访问代码仓库：**

* 用户名：`cnb`
* 密码：添加的部署令牌

**访问制品库：**

* 用户名：`cnb`
* 密码：添加的部署令牌

### 访问 OpenAPI

详见 [Open API](../develops/openapi.md)。

## 与访问令牌的区别

* **只读权限**：只能读取仓库或制品库内容，不能创建 Release 或上传制品
* **使用范围**：由创建时的资源层级决定——组织下创建则为组织范围，仓库下创建则为仓库范围，制品库下创建则为制品库范围
* **权限归属**：访问令牌关联用户权限，部署令牌不具备用户属性，仅关联资源
* **OpenAPI 调用**：部署令牌可调用 AI 相关 OpenAPI 接口；访问令牌调用时，令牌所属用户须具备仓库写权限

## 默认权限规则

* **私有仓库/私有制品库**：默认无任何权限，需手动勾选授权范围
* **公开仓库/公开制品库**：默认有只读权限

## 注意事项

* 部署令牌不适合写入操作（如发布、上传制品）
* 建议定期审计令牌使用情况，删除长期未用的令牌
* 创建时务必检查授权范围，避免因默认未勾选导致无权限报错