En esta página se describe cómo gestionar el control de acceso en el registro de Harbor como servicio siguiendo los principios de los mínimos privilegios. Los administradores de gestión de identidades y accesos de la organización de Google Distributed Cloud (GDC) con aislamiento físico controlan quién puede autenticarse y autorizarse para usar las APIs de Harbor como servicio. Para autorizar APIs y accesos en una instancia de Harbor, usa el control de acceso basado en roles integrado de Harbor en cada proyecto de Harbor. Para obtener más información, consulta https://goharbor.io/docs/2.8.0/administration/managing-users/.
Configurar el acceso a las APIs de Harbor como servicio
Todas las APIs de GDC Harbor-as-a-Service requieren que la entidad que hace la solicitud tenga los permisos necesarios para usar el recurso de la API. Los permisos se conceden a las entidades principales mediante políticas que les asignan un rol predefinido en el recurso.
Roles predefinidos de Harbor como servicio
Harbor como servicio proporciona roles predefinidos que conceden acceso a recursos de API relacionados y evitan el acceso no autorizado a otros recursos.
Usa los siguientes roles predefinidos para gestionar los recursos de instancias de Harbor y crear recursos de proyectos de Harbor:
- Harbor Instance Viewer: ve y obtiene la instancia de Harbor. Pide al administrador de gestión de identidades y accesos de tu organización que te conceda el rol de lector de instancias de Harbor (
harbor-instance-viewer). - Administrador de instancias de Harbor: crea y gestiona la instancia de Harbor, y crea proyectos de Harbor en la instancia de Harbor. Pide al administrador de gestión de identidades y accesos de tu organización que te conceda el rol de administrador de instancias de Harbor (
harbor-instance-admin). - Creador de proyectos de Harbor: crea proyectos de Harbor en la instancia de Harbor.
Pídele al administrador de gestión de identidades y accesos de tu organización que te asigne el rol Creador de proyectos de Harbor (
harbor-project-creator).
Configurar el acceso a las APIs y en una instancia de Harbor
En una instancia de Harbor, usa el control de acceso basado en roles integrado de Harbor en cada proyecto de Harbor para controlar quién tiene autorización para usar las APIs y acceder a los recursos del proyecto de Harbor. Para obtener más información, consulta https://goharbor.io/docs/2.8.0/administration/managing-users/.
Al usuario que crea el proyecto de Harbor se le asigna automáticamente el rol ProjectAdmin en ese proyecto. El usuario ProjectAdmin puede asignar roles para el proyecto de Harbor a otros usuarios. Para ver todos los roles disponibles, consulta https://goharbor.io/docs/2.8.0/administration/managing-users/user-permissions-by-role/.