映象訪問管理
目錄
注意
映象訪問管理僅適用於 Docker Business 客戶。
映象訪問管理使管理員可以控制其開發人員可以從 Docker Hub 拉取哪些型別的映象,例如 Docker 官方映象、Docker 認證釋出者映象或社群映象。
例如,屬於某個組織的開發人員在構建新的容器化應用程式時,可能會意外地使用不可信的社群映象作為其應用程式的元件。該映象可能是惡意的,並對公司構成安全風險。使用映象訪問管理,組織所有者可以確保開發人員只能訪問受信任的內容,例如 Docker 官方映象、Docker 認證釋出者映象或組織自己的映象,從而防止此類風險。
先決條件
您需要 配置 registry.json 以強制執行登入。為了使映象訪問管理生效,Docker Desktop 使用者必須向您的組織進行身份驗證。
配置映象訪問管理許可權
- 登入 Docker Hub。
- 選擇**組織**、您的組織、**設定**,然後選擇**映象訪問**。
- 啟用映象訪問管理以設定您要管理的以下類別映象的許可權
- **組織映象**: 組織中的映象預設情況下始終允許。這些映象可以是公開的或私人的,由組織中的成員建立。
- **Docker 官方映象**: 在 Hub 上託管的一組經過精選的 Docker 儲存庫。它們提供作業系統儲存庫、Dockerfile 的最佳實踐、即用型解決方案,並及時應用安全更新。
- **Docker 認證釋出者映象**: 由 Docker 合作伙伴釋出的映象,這些合作伙伴是認證釋出者計劃的一部分,並有資格加入開發人員安全供應鏈。
- **社群映象**: 由於各種使用者貢獻了這些映象,因此它們可能存在安全風險,因此預設情況下在啟用映象訪問管理時會停用這些映象。此類別包括 Docker 贊助的開源映象。
注意
映象訪問管理預設情況下處於關閉狀態。但是,您組織中的所有者可以訪問所有映象,無論設定如何。
- 透過選擇**允許**來選擇映象的類別限制。應用限制後,您的成員可以以只讀格式檢視組織許可權頁面。
驗證限制
在開發人員使用其組織憑據成功向 Docker Desktop 進行身份驗證後,新的映象訪問管理策略生效。如果開發人員嘗試使用 Docker 拉取不允許的映象型別,他們會收到錯誤訊息。
搶先體驗
Docker 管理控制檯是 搶先體驗 產品。
它可供所有公司所有者和組織所有者使用。您仍然可以在 Docker Hub 中管理公司和組織,但管理控制檯包含用於公司級管理的增強功能。
- 登入 管理控制檯。
- 在左側導航下拉選單中選擇您的組織,然後選擇**映象訪問**。
- 啟用映象訪問管理以設定您要管理的以下類別映象的許可權
- **組織映象**: 組織中的映象預設情況下始終允許。這些映象可以是公開的或私人的,由組織中的成員建立。
- **Docker 官方映象**: 在 Hub 上託管的一組經過精選的 Docker 儲存庫。它們提供作業系統儲存庫、Dockerfile 的最佳實踐、即用型解決方案,並及時應用安全更新。
- **Docker 認證釋出者映象**: 由 Docker 合作伙伴釋出的映象,這些合作伙伴是認證釋出者計劃的一部分,並有資格加入開發人員安全供應鏈。
- **社群映象**: 由於各種使用者貢獻了這些映象,因此它們可能存在安全風險,因此預設情況下在啟用映象訪問管理時會停用這些映象。此類別包括 Docker 贊助的開源映象。
注意
映象訪問管理預設情況下處於關閉狀態。但是,您組織中的所有者可以訪問所有映象,無論設定如何。
- 透過選擇**允許**來選擇映象的類別限制。應用限制後,您的成員可以以只讀格式檢視組織許可權頁面。
驗證限制
在開發人員使用其組織憑據成功向 Docker Desktop 進行身份驗證後,新的映象訪問管理策略生效。如果開發人員嘗試使用 Docker 拉取不允許的映象型別,他們會收到錯誤訊息。