主子账号命名空间权限说明
命名空间的有读写和只读两种权限,进行docker命令行操作时,需要进行命名空间授权:
- 拥有读写权限的账号,可以管理命名空间和空间的镜像,也可以给其他子账号进行授权,docker可以push和pull镜像。
- 只读权限的账号可以看到该命名空间和镜像,docker可以拉取镜像。
主、子账号对于命名空间的权限是不同的。主账号拥有所有子账号命名空间的权限,即子账号创建命名空间,主账号能进行增删改查操作。子账号只能对自己创建的命名空间增删改,要操作非自己创建的命名空间,需要被授权命名空间。
如何进行子账号授权
点击左侧导航栏命名空间一列,找到要授权的命名空间,点击子账号授权。
右侧会弹出窗口,展示所有开通了CCR服务的子账号,选择读写或者只读进行授权。
用户名为docker登录名,可以在访问凭据->用户名处看到。
账号权限策略
CCR有三种权限策略,是针对子账号的界面和接口级别的权限管理,主账号不需要权限策略授权。如果需要在CCR界面进行任何操作,需要进行以下三种选择的授权。
- CCRFullControlPolicy 完全控制CCR的权限
- CCROperatePolicy 运维操作CCR的权限
- CCRReadPolicy 只读访问CCR的权限
CCRFullControlPolicy
CCRFullControlPolicy是页面和接口操作的全集,包括以下多种操作:
- 创建命名空间,进行命名空间授权,生成临时密钥,启动镜像扫描,创建镜像迁移仓库,创建镜像迁移策略,创建镜像迁移任务,上传Helm包;
- 删除命名空间、镜像、镜像版本、镜像迁移仓库、镜像迁移策略、镜像迁移任务、Helm包等;
- 更新命名空间镜像、镜像版本、镜像迁移仓库、启动镜像迁移策略、停止镜像迁移任务等;
- 获取命名空间列表、镜像、镜像版本、镜像版本扫描、Helm、镜像迁移仓库、镜像迁移策略、镜像迁移任务等;
CCROperatePolicy
CCROperatePolicy支持页面和接口的创建、更新和读取操作:
- 启动镜像扫描,生成临时密钥,上传Helm包;
- 更新命名空间镜像、镜像版本、镜像迁移仓库、启动镜像迁移策略、停止镜像迁移任务等;
- 获取命名空间列表、镜像、镜像版本、镜像版本扫描、Helm、镜像迁移仓库、镜像迁移策略、镜像迁移任务等;
CCRReadPolicy
CCRReadPolicy仅支持界面和接口读取操作:
- 获取命名空间列表、镜像、镜像版本、镜像版本扫描、Helm、镜像迁移仓库、镜像迁移策略、镜像迁移任务等;
如何给子账号增加权限策略
进入用户中心->多用户访问控制->编辑权限,赋予CCR权限策略或者超级管理员权限。
