En esta página, se describe cómo administrar el control de acceso en el registro de Harbor-as-a-Service mientras se cumplen los principios de privilegio mínimo. Los administradores de IAM de la organización de Google Distributed Cloud (GDC) air-gapped controlan quién puede autenticarse y autorizarse para usar las APIs de Harbor-as-a-Service. Para autorizar APIs y acceso en una instancia de Harbor, usa el control de acceso basado en roles integrado de Harbor en cada proyecto de Harbor. Para obtener más información, consulta https://goharbor.io/docs/2.8.0/administration/managing-users/.
Configura el acceso para las APIs de Harbor-as-a-Service
Cada API de GDC Harbor-as-a-Service requiere que la principal que realiza la solicitud tenga los permisos necesarios para usar el recurso de la API. Los permisos se otorgan a las entidades mediante la configuración de políticas que le otorgan a la entidad un rol predefinido en el recurso.
Roles predefinidos de Harbor-as-a-Service
Harbor-as-a-Service proporciona roles predefinidos que otorgan acceso a recursos de API relacionados y evitan el acceso no autorizado a otros recursos.
Usa los siguientes roles predefinidos para administrar los recursos de la instancia de Harbor y crear recursos del proyecto de Harbor:
- Visualizador de instancias de Harbor: Ve y obtiene la instancia de Harbor. Pídele al administrador de IAM de tu organización que te otorgue el rol de Visualizador de instancias de Harbor (
harbor-instance-viewer). - Administrador de instancias de Harbor: Crea y administra la instancia de Harbor, y crea proyectos de Harbor en la instancia de Harbor. Pídele al administrador de IAM de tu organización que te otorgue el rol de Administrador de instancias de Harbor (
harbor-instance-admin). - Creador de proyectos de Harbor: Crea proyectos de Harbor en la instancia de Harbor.
Pídele al administrador de IAM de tu organización que te otorgue el rol de Creador de proyectos de Harbor (
harbor-project-creator).
Configura el acceso para las APIs y dentro de una instancia de Harbor
Dentro de una instancia de Harbor, usa el control de acceso basado en roles integrado de Harbor en cada proyecto de Harbor para controlar quién está autorizado a usar las APIs y acceder a los recursos en el proyecto de Harbor. Para obtener más información, consulta https://goharbor.io/docs/2.8.0/administration/managing-users/.
Al usuario que crea el proyecto de Harbor se le asigna automáticamente el rol ProjectAdmin para el proyecto de Harbor. El usuario ProjectAdmin puede asignar roles para el proyecto de Harbor a otros usuarios. Para ver todos los roles disponibles, consulta
https://goharbor.io/docs/2.8.0/administration/managing-users/user-permissions-by-role/.
Usa cuentas de servicio para interactuar con MHS
Puedes usar cuentas de servicio para interactuar con MHS. El uso de una cuenta de servicio del proyecto integra tu automatización directamente en el flujo de autenticación de IAM de GDC, lo que permite que tus cargas de trabajo generen tokens de corta duración automáticamente sin administrar de forma manual las credenciales estáticas.
Para configurar, activar la identidad y otorgar permisos del proyecto para automatizar la autenticación de MHS, sigue los pasos que se indican en Administra cuentas de servicio.
Después de completar estos pasos de configuración, la identidad de tu cuenta de servicio puede interactuar de forma segura con tus instancias de Harbor y administrar repositorios de contenedores.
¿Qué sigue?
Después de configurar tus herramientas de línea de comandos y los controles de acceso para la cuenta de servicio del proyecto, revisa las prácticas estándar para rotar claves y administrar la seguridad de la cuenta de servicio a largo plazo: