組織訪問令牌

目錄
訂閱: 團隊 商業

組織訪問令牌 (OAT) 為自動化系統、CI/CD 管道和其他業務關鍵型任務提供對 Docker Hub 的安全、程式設計訪問。與繫結到個人使用者的個人訪問令牌不同,OAT 與您的組織相關聯,並可由任何組織所有者管理。

警告

組織訪問令牌與 Docker Desktop、映象訪問管理和登錄檔訪問管理不相容。如果您使用這些功能,請改用個人訪問令牌

誰應該使用組織訪問令牌?

使用 OATs 用於需要 Docker Hub 訪問而不依賴於個人使用者帳戶的自動化系統

  • CI/CD 管道:用於推送和拉取映象的構建和部署系統
  • 生產系統:在部署期間拉取映象的應用程式
  • 監控工具:需要檢查儲存庫狀態或拉取映象的系統
  • 備份系統:定期拉取映象以進行歸檔的工具
  • 整合服務:與您的 Docker Hub 儲存庫整合的第三方工具

主要優勢

使用組織訪問令牌的好處包括

  • 組織所有權:不與可能離開公司的個人使用者繫結
  • 共享管理:所有組織所有者都可以建立和管理 OATs
  • 獨立使用限制:OATs 具有自己的 Docker Hub 速率限制,不計入個人帳戶
  • 更好的安全審計:跟蹤令牌上次使用的時間並識別可疑活動
  • 精細許可權:限制對特定儲存庫和操作的訪問

先決條件

要建立和使用組織訪問令牌,您必須具備

  • Docker Team 或 Business 訂閱
  • 所有者許可權
  • 您希望授予訪問許可權的儲存庫

建立組織訪問令牌

所有者可以使用這些限制建立令牌

  • 團隊訂閱:每個組織最多 10 個 OAT
  • 商業訂閱:每個組織最多 100 個 OAT

過期令牌計入您的總限額。

建立 OAT

  1. 登入 Docker Home 並選擇您的組織。
  2. 選擇 管理控制檯,然後選擇 訪問令牌
  3. 選擇 生成訪問令牌
  4. 配置令牌詳細資訊
    • 標籤:描述性名稱,指示令牌的用途
    • 描述(可選):附加詳細資訊
    • 過期日期:令牌應何時過期
  5. 展開 儲存庫 下拉選單以設定訪問許可權
    1. 可選。選擇 讀取公共儲存庫 以訪問公共儲存庫。
    2. 選擇 新增儲存庫 並從下拉選單中選擇一個儲存庫。
    3. 為每個儲存庫設定許可權:映象拉取映象推送
    4. 根據需要新增最多 50 個儲存庫。
  6. 可選。透過展開 組織 下拉選單並選擇 允許管理此組織的資源 來配置組織管理許可權
    • 成員編輯:編輯組織的成員
    • 成員讀取:讀取組織的成員
    • 邀請編輯:邀請成員加入組織
    • 邀請讀取:讀取組織的邀請
    • 組編輯:編輯組織的組
    • 組讀取:讀取組織的組
  7. 選擇 生成令牌。複製螢幕上顯示的令牌並儲存。退出屏幕後將無法檢索令牌。
重要

將組織訪問令牌視為密碼。將其安全地儲存在憑據管理器中,切勿將其提交到原始碼儲存庫。

使用組織訪問令牌

使用您的組織訪問令牌登入 Docker CLI

$ docker login --username <YOUR_ORGANIZATION_NAME>
Password: [paste your OAT here]

當提示輸入密碼時,輸入您的組織訪問令牌。

修改現有令牌

管理現有令牌

  1. 登入 Docker Home 並選擇您的組織。
  2. 選擇 管理控制檯,然後選擇 訪問令牌
  3. 在令牌行中選擇操作選單,您可以
    • 編輯
    • 停用
    • 刪除
  4. 對令牌進行更改後選擇 儲存

組織訪問令牌最佳實踐

  • 定期令牌輪換:設定合理的過期日期並定期輪換令牌,以最大程度地降低安全風險。
  • 最小許可權原則:僅授予每個用例所需的最低儲存庫訪問許可權和許可權。
  • 監控令牌使用情況:定期檢視令牌上次使用的時間,以識別未使用的或可疑的令牌。
  • 安全儲存:將令牌儲存在安全的憑據管理系統中,切勿以純文字或原始碼形式儲存。
  • 立即撤銷:如果令牌被洩露或不再需要,請立即停用或刪除令牌。