個人訪問令牌
目錄
個人訪問令牌 (PAT) 為 Docker CLI 身份驗證提供了一種比密碼更安全的替代方案。使用 PAT 可以在不暴露 Docker Hub 密碼的情況下對自動化系統、CI/CD 管道和開發工具進行身份驗證。
主要優勢
PAT 比密碼身份驗證具有顯著的安全優勢
- 增強安全性:調查令牌使用情況,停用可疑令牌,並防止在系統受到威脅時可能危及您賬戶的管理操作。
- 更好的自動化:為不同的整合頒發多個令牌,每個令牌具有特定許可權,並在不再需要時獨立撤銷它們。
- 雙因素身份驗證相容性:當您啟用雙因素身份驗證時,需要此功能,提供安全的 CLI 訪問而無需繞過 2FA 保護。
- 使用跟蹤:監控令牌何時以及如何使用,以識別潛在的安全問題或未使用的自動化。
誰應該使用個人訪問令牌?
在這些常見場景中使用 PAT
- 開發工作流程:在本地開發期間對 Docker CLI 進行身份驗證
- CI/CD 管道:在持續整合系統中自動化映象構建和部署
- 自動化指令碼:在自動化部署或備份指令碼中推送和拉取映象
- 開發工具:將 Docker Hub 訪問與 IDE、容器管理工具或監控系統整合
- 雙因素身份驗證:當啟用 2FA 時,CLI 訪問所需
注意對於組織範圍的自動化,請考慮組織訪問令牌,它們不與個人使用者賬戶繫結。
建立個人訪問令牌
重要像密碼一樣對待訪問令牌並確保其安全。將令牌儲存在憑證管理器中,切勿將其提交到原始碼倉庫。
建立個人訪問令牌
- 登入到Docker Home。
- 在右上角選擇您的頭像,然後從下拉選單中選擇賬戶設定。
- 選擇個人訪問令牌。
- 選擇生成新令牌。
- 配置您的令牌
- 描述:使用描述性名稱,指明令牌的用途
- 過期日期:根據您的安全策略設定過期日期
- 訪問許可權:讀取、寫入或刪除。
- 選擇生成。複製螢幕上出現的令牌並儲存。退出屏幕後將無法檢索該令牌。
使用個人訪問令牌
使用您的個人訪問令牌登入 Docker CLI
$ docker login --username <YOUR_USERNAME>
Password: [paste your PAT here]
當系統提示輸入密碼時,輸入您的個人訪問令牌而不是您的 Docker Hub 密碼。
修改個人訪問令牌
注意您無法編輯現有個人訪問令牌的過期日期。如果需要設定新的過期日期,則必須建立新的 PAT。
您可以根據需要重新命名、啟用、停用或刪除令牌。您可以在賬戶設定中管理您的令牌。
- 登入 Docker Home。
- 在右上角選擇您的頭像,然後從下拉選單中選擇賬戶設定。
- 選擇個人訪問令牌。
- 此頁面顯示所有令牌的概覽,並列出令牌是手動生成還是自動生成。您還可以檢視令牌的範圍、哪些令牌處於啟用和非啟用狀態、何時建立、上次使用時間以及過期日期。
- 選擇令牌行最右側的操作選單,然後選擇停用或啟用、編輯或刪除以修改令牌。
- 編輯令牌後,選擇儲存令牌。
自動生成令牌
當您登入 Docker Desktop 時,Docker Desktop 會自動建立具有以下特徵的身份驗證令牌
- 自動建立:當您登入 Docker Desktop 時生成
- 完全許可權:包括讀取、寫入和刪除訪問許可權
- 基於會話:當 Docker Desktop 會話過期時自動刪除
- 賬戶限制:每個賬戶最多 5 個自動生成的令牌
- 自動清理:建立新令牌時,較舊的令牌會被刪除
如果需要,您可以手動刪除自動生成的令牌,但當您使用 Docker Desktop 時,它們會重新建立。
公平使用政策
使用個人訪問令牌時,請注意,過度建立令牌可能會導致限制或額外費用。Docker 保留對過度使用 PAT 的賬戶施加限制的權利,以確保公平的資源分配並維護服務質量。
公平使用的最佳實踐包括
- 在相似用例中重複使用令牌,而不是建立許多一次性令牌
- 定期刪除未使用的令牌
- 使用組織訪問令牌進行組織範圍的自動化
- 監控令牌使用情況以識別最佳化機會