本页面介绍了如何在遵循最小权限原则的前提下,管理 Harbor-as-a-Service 注册表中的访问权限控制。Google Distributed Cloud (GDC) 空气隔离组织 IAM 管理员可以控制哪些用户可以经过身份验证并获得授权来使用 Harbor-as-a-Service API。如需在 Harbor 实例中授权 API 和访问权限,请在每个 Harbor 项目中使用 Harbor 的内置基于角色的访问权限控制。如需了解详情,请参阅 https://goharbor.io/docs/2.8.0/administration/managing-users/。
为 Harbor-as-a-Service API 配置访问权限
每个 GDC Harbor-as-a-Service API 都要求发出请求的主账号具有使用相应 API 资源所需的权限。通过设置政策向主账号授予权限,这些政策会向主账号授予资源上的预定义角色。
预定义的 Harbor 即服务角色
Harbor-as-a-Service 提供预定义角色,这些角色可授予对相关 API 资源的访问权限,并防止对其他资源进行未经授权的访问。
使用以下预定义角色来管理 Harbor 实例资源和创建 Harbor 项目资源:
- Harbor Instance Viewer:查看和获取 Harbor 实例。请让您的组织 IAM 管理员向您授予 Harbor Instance Viewer (
harbor-instance-viewer) 角色。 - Harbor 实例管理员:创建和管理 Harbor 实例,并在 Harbor 实例中创建 Harbor 项目。请让您的组织 IAM 管理员向您授予 Harbor Instance Admin (
harbor-instance-admin) 角色。 - Harbor Project Creator:在 Harbor 实例中创建 Harbor 项目。
请让您的组织 IAM 管理员向您授予 Harbor Project Creator (
harbor-project-creator) 角色。
配置对 API 和 Harbor 实例的访问权限
在 Harbor 实例中,使用每个 Harbor 项目中 Harbor 的内置基于角色的访问权限控制功能,控制哪些人有权使用 API 和访问 Harbor 项目中的资源。如需了解详情,请参阅 https://goharbor.io/docs/2.8.0/administration/managing-users/。
创建 Harbor 项目的用户会自动获得该 Harbor 项目的 ProjectAdmin 角色。ProjectAdmin 用户可以为 Harbor 项目向其他用户分配角色。如需查看所有可用角色,请访问 https://goharbor.io/docs/2.8.0/administration/managing-users/user-permissions-by-role/。