Auf dieser Seite wird beschrieben, wie Sie die Zugriffssteuerung in der Harbor-as-a-Service-Registry verwalten und dabei das Prinzip der geringsten Berechtigung einhalten. Google Distributed Cloud (GDC) Air-Gapped-Organisations-IAM-Administratoren steuern, wer authentifiziert und autorisiert werden kann, um Harbor-as-a-Service-APIs zu verwenden. Verwenden Sie die integrierte rollenbasierte Zugriffssteuerung von Harbor in jedem Harbor-Projekt, um APIs und den Zugriff in einer Harbor-Instanz zu autorisieren. Weitere Informationen finden Sie unter https://goharbor.io/docs/2.8.0/administration/managing-users/.
Zugriff für Harbor-as-a-Service-APIs konfigurieren
Für jede GDC Harbor-as-a-Service API ist erforderlich, dass der Prinzipal, der die Anfrage stellt, die erforderlichen Berechtigungen zur Verwendung der API-Ressource hat. Berechtigungen werden Hauptkonten zugewiesen, indem Richtlinien festgelegt werden, die dem Hauptkonto eine vordefinierte Rolle für die Ressource zuweisen.
Vordefinierte Harbor-as-a-Service-Rollen
Harbor-as-a-Service bietet vordefinierte Rollen, die Zugriff auf zugehörige API-Ressourcen gewähren und unbefugten Zugriff auf andere Ressourcen verhindern.
Verwenden Sie die folgenden vordefinierten Rollen, um die Ressourcen der Harbor-Instanz zu verwalten und Harbor-Projektressourcen zu erstellen:
- Harbor Instance Viewer: Zeigt die Harbor-Instanz an und ruft sie ab. Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „Harbor Instance Viewer“ (
harbor-instance-viewer) zuzuweisen. - Harbor-Instanzadministrator: Erstellt und verwaltet die Harbor-Instanz und erstellt Harbor-Projekte in der Harbor-Instanz. Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „Harbor Instance Admin“ (
harbor-instance-admin) zuzuweisen. - Harbor Project Creator: Erstellt Harbor-Projekte in der Harbor-Instanz.
Bitten Sie Ihren Organisations-IAM-Administrator, Ihnen die Rolle „Harbor Project Creator“ (
harbor-project-creator) zuzuweisen.
Zugriff für APIs und innerhalb einer Harbor-Instanz konfigurieren
Verwenden Sie in einer Harbor-Instanz die integrierte rollenbasierte Zugriffssteuerung von Harbor in jedem Harbor-Projekt, um zu steuern, wer berechtigt ist, die APIs zu verwenden und auf Ressourcen im Harbor-Projekt zuzugreifen. Weitere Informationen finden Sie unter https://goharbor.io/docs/2.8.0/administration/managing-users/.
Dem Nutzer, der das Harbor-Projekt erstellt, wird automatisch die Rolle ProjectAdmin für das Harbor-Projekt zugewiesen. Der ProjectAdmin-Nutzer kann anderen Nutzern Rollen für das Harbor-Projekt zuweisen. Alle verfügbaren Rollen finden Sie unter https://goharbor.io/docs/2.8.0/administration/managing-users/user-permissions-by-role/.
Dienstkonten für die Interaktion mit MHS verwenden
Sie können Dienstkonten verwenden, um mit MHS zu interagieren. Wenn Sie ein Projekt-Dienstkonto verwenden, wird Ihre Automatisierung direkt in den GDC IAM-Authentifizierungsablauf eingebunden. So können Ihre Arbeitslasten automatisch kurzlebige Tokens generieren, ohne dass Sie statische Anmeldedaten manuell verwalten müssen.
Wenn Sie die Identität einrichten und aktivieren und die Projektberechtigung für die automatisierte Authentifizierung für MHS erteilen möchten, folgen Sie der Anleitung unter Dienstkonten verwalten.
Nachdem Sie diese Einrichtungsschritte abgeschlossen haben, kann die Identität Ihres Dienstkontos sicher mit Ihren Harbor-Instanzen interagieren und Container-Repositories verwalten.
Nächste Schritte
Nachdem Sie Ihre Befehlszeilentools und Zugriffssteuerungen für das Dienstkonto des Projekts konfiguriert haben, sollten Sie sich die Standardverfahren zum Rotieren von Schlüsseln und zum Verwalten der langfristigen Sicherheit von Dienstkonten ansehen: