アクセス制御の構成

このページでは、最小権限の原則を遵守しながら、Harbor-as-a-Service レジストリでアクセス制御を管理する方法について説明します。Google Distributed Cloud（GDC）エアギャップの組織 IAM 管理者は、Harbor-as-a-Service API の使用を認証および承認できるユーザーを制御します。Harbor インスタンスの API とアクセスを承認するには、各 Harbor プロジェクトで Harbor の組み込みロールベースのアクセス制御を使用します。詳細については、https://goharbor.io/docs/2.8.0/administration/managing-users/ をご覧ください。

Harbor-as-a-Service API のアクセスを構成する

すべての GDC Harbor-as-a-Service API では、リクエストを行うプリンシパルに API リソースを使用するために必要な権限が付与されている必要があります。権限は、リソースに対する事前定義されたロールをプリンシパルに付与するポリシーを設定することで、プリンシパルに付与されます。

事前定義された Harbor-as-a-Service ロール

Harbor-as-a-Service には、関連する API リソースへのアクセス権を付与し、他のリソースへの無許可のアクセスを防ぐ事前定義ロールが用意されています。

Harbor インスタンス リソースの管理と Harbor プロジェクト リソースの作成には、次の事前定義ロールを使用します。

• Harbor インスタンス閲覧者: Harbor インスタンスを表示して取得します。組織の IAM 管理者に、Harbor インスタンス閲覧者（harbor-instance-viewer）ロールを付与するよう依頼します。
• Harbor インスタンス管理者: Harbor インスタンスを作成して管理し、Harbor インスタンスに Harbor プロジェクトを作成します。組織の IAM 管理者に、Harbor インスタンス管理者（harbor-instance-admin）ロールを付与するよう依頼します。
• Harbor プロジェクト作成者: Harbor インスタンスに Harbor プロジェクトを作成します。組織 IAM 管理者に、Harbor プロジェクト作成者（harbor-project-creator）ロールを付与するよう依頼します。

API と Harbor インスタンス内のアクセスを構成する

Harbor インスタンス内で、各 Harbor プロジェクトの Harbor の組み込みロールベースのアクセス制御を使用して、Harbor プロジェクトの API の使用とリソースへのアクセスを許可するユーザーを制御します。詳細については、https://goharbor.io/docs/2.8.0/administration/managing-users/ をご覧ください。

Harbor プロジェクトを作成したユーザーには、Harbor プロジェクトの ProjectAdmin ロールが自動的に割り当てられます。ProjectAdmin ユーザーは、Harbor プロジェクトのロールを他のユーザーに割り当てることができます。使用可能なすべてのロールについては、https://goharbor.io/docs/2.8.0/administration/managing-users/user-permissions-by-role/ をご覧ください。