本頁說明如何在 Harbor 即服務登錄檔中管理存取權控管,同時遵守最小權限原則。Google Distributed Cloud (GDC) 氣隙式機構的 IAM 管理員可控管哪些使用者能通過驗證,並獲得授權使用 Harbor 即服務 API。如要授權 Harbor 執行個體中的 API 和存取權,請在每個 Harbor 專案中使用 Harbor 內建的角色式存取權控管機制。詳情請參閱 https://goharbor.io/docs/2.8.0/administration/managing-users/。
設定 Harbor 即服務 API 的存取權
凡是需要主體發送要求的 GDC Harbor 即服務 API,都具備使用該 API 資源的必要權限。只要設定政策,授予主體資源的預先定義角色,即可將權限授予主體。
預先定義的 Harbor 即服務角色
Harbor 即服務提供預先定義的角色,可授予相關 API 資源的存取權,防止其他資源遭到未經授權的存取。
使用下列預先定義的角色管理 Harbor 執行個體資源,以及建立 Harbor 專案資源:
- Harbor 執行個體檢視者:檢視及取得 Harbor 執行個體。請要求機構 IAM 管理員授予您 Harbor 執行個體檢視者 (
harbor-instance-viewer) 角色。 - Harbor 執行個體管理員:建立及管理 Harbor 執行個體,並在 Harbor 執行個體中建立 Harbor 專案。請機構 IAM 管理員授予您 Harbor 執行個體管理員 (
harbor-instance-admin) 角色。 - Harbor 專案建立者:在 Harbor 執行個體中建立 Harbor 專案。
請機構 IAM 管理員授予您 Harbor 專案建立者 (
harbor-project-creator) 角色。
設定 API 和 Harbor 執行個體內的存取權
在 Harbor 執行個體中,使用每個 Harbor 專案內建的存取權控管機制,控管哪些人有權使用 API,以及存取 Harbor 專案中的資源。詳情請參閱 https://goharbor.io/docs/2.8.0/administration/managing-users/。
建立 Harbor 專案的使用者會自動獲派 Harbor 專案的 ProjectAdmin 角色。ProjectAdmin 使用者可以將 Harbor 專案的角色指派給其他使用者。如要查看所有可用角色,請參閱 https://goharbor.io/docs/2.8.0/administration/managing-users/user-permissions-by-role/。