容器镜像服务 主子账户授权
本期上线的主子账号功能,满足了企业账户分权管理的场景。子账户开通服务之后,主账户就可以对子账户进行授权。允许指定的子账户拥有镜像的推送、拉去权限,或是修改仓库信息等功能。
操作示例
子账户开通服务
首先在进行各类授权之前,我们需要确认子账号已经开通服务,使用子账号登陆容器镜像服务首页。填写Docker客户端的登陆密码,即可完成服务的开通。
在子账户开通服务的时候,默认是没有任何仓库或命名空间的授权的,所以在首页的仓库列表或许空空如也。
为子账号提供仓库授权
子账户开通服务之后,我们可以登陆主账号对他进行授权。
选择一个主账户的一个镜像仓库,点击右侧的管理按钮。
来到仓库授权的Tab页面,点击右侧的添加授权按钮,在弹出的对话框中为用户选择适当的权限并确认。
回到仓库授权的页面之后,我们将会看到一条新的仓库授权记录,你可以在这里修改或是删除这条授权。
回过来,我们再使用刚刚授权的子账户登陆控制台,就可以在仓库列表页看到刚刚被授权的仓库了。
PS:授权级别请至少为WRITE,否则将不能在界面上被看到。
为子账户提供命名空间级别的权限
如果我们需要将整个命名空间的权限都交给一个子账户,那么我们可以在命名空间管理中为子账户进行授权。我们先使用主账户进行登陆,选择Namespace管理Tab页面,点击右侧的操作。
选择右侧的添加授权的按钮,为子账户添加一个需要的权限,确定。
回过来,我们再使用刚刚授权的子账户登陆控制台,就可以在仓库列表页看到这个命名空间下所有的仓库了。
PS:注意一点,刚刚授权的仓库,同时也在这个命名空间下。这个时候授权是以更高级别的授权为准的,也就是界面上我们会看到这个用户有管理权限。
子账户新建命名空间
子账户想要独立使用服务的话,也可以选择新建一个命名空间自己使用。
这个命名空间作为一个资源还是主账号所有的,新建的命名空间会自动为子账号授予一个管理权限。一个主账号的命名空间上限是五个。
登陆子账号,选择命名空间管理的Tab页面,点击右上角的创建按钮,并输入自己想要的命名空间。
确认之后回到命名空间管理页面,我们就会看到刚刚新申请的命名空间了,并拥有了管理权限。
我们可以在创建镜像仓库时,选择这些被授权的命名空间,进行创建。
相关链接
容器镜像服务 控制台
Docker Registry 配置参考文档
Docker Engine 镜像源站
Docker Toolbox 镜像源站
Docker 镜像加速器
