Cette page explique comment gérer le contrôle des accès dans le registre Harbor-as-a-Service tout en respectant les principes du moindre privilège. Les administrateurs IAM de l'organisation Google Distributed Cloud (GDC) air-gapped contrôlent qui peut être authentifié et autorisé à utiliser les API Harbor-as-a-Service. Pour autoriser les API et l'accès dans une instance Harbor, utilisez le contrôle des accès basé sur les rôles intégré à Harbor dans chaque projet Harbor. Pour en savoir plus, consultez https://goharbor.io/docs/2.8.0/administration/managing-users/.
Configurer l'accès aux API Harbor-as-a-Service
Chaque API GDC Harbor-as-a-Service exige que le principal effectuant la requête dispose des autorisations requises pour utiliser la ressource d'API. Les autorisations sont accordées aux comptes principaux en définissant des stratégies qui leur attribuent un rôle prédéfini sur la ressource.
Rôles prédéfinis Harbor-as-a-Service
Harbor-as-a-Service fournit des rôles prédéfinis qui accordent l'accès aux ressources d'API associées et empêchent les accès non autorisés aux autres ressources.
Utilisez les rôles prédéfinis suivants pour gérer les ressources d'instance Harbor et créer des ressources de projet Harbor :
- Lecteur d'instances Harbor : affiche et obtient l'instance Harbor. Demandez à l'administrateur IAM de votre organisation de vous accorder le rôle Lecteur d'instance Harbor (
harbor-instance-viewer). - Administrateur d'instance Harbor : crée et gère l'instance Harbor, et crée des projets Harbor dans l'instance Harbor. Demandez à votre administrateur IAM de l'organisation de vous attribuer le rôle Administrateur d'instance Harbor (
harbor-instance-admin). - Créateur de projet Harbor : crée des projets Harbor dans l'instance Harbor.
Demandez à votre administrateur IAM de l'organisation de vous accorder le rôle Créateur de projets Harbor (
harbor-project-creator).
Configurer l'accès aux API et dans une instance Harbor
Dans une instance Harbor, utilisez le contrôle des accès basé sur les rôles intégré à Harbor dans chaque projet Harbor pour contrôler qui est autorisé à utiliser les API et à accéder aux ressources du projet Harbor. Pour en savoir plus, consultez https://goharbor.io/docs/2.8.0/administration/managing-users/.
Le rôle ProjectAdmin est automatiquement attribué à l'utilisateur qui crée le projet Harbor. L'utilisateur ProjectAdmin peut attribuer des rôles pour le projet Harbor à d'autres utilisateurs. Pour connaître tous les rôles disponibles, consultez https://goharbor.io/docs/2.8.0/administration/managing-users/user-permissions-by-role/.
Utiliser des comptes de service pour interagir avec MHS
Vous pouvez utiliser des comptes de service pour interagir avec MHS. L'utilisation d'un compte de service de projet intègre votre automatisation directement dans le flux d'authentification GDC IAM. Vos charges de travail peuvent ainsi générer automatiquement des jetons de courte durée sans avoir à gérer manuellement les identifiants statiques.
Pour configurer, activer l'identité et accorder l'autorisation de projet pour automatiser l'authentification pour MHS, suivez les étapes décrites dans Gérer les comptes de service.
Une fois ces étapes de configuration effectuées, l'identité de votre compte de service peut interagir de manière sécurisée avec vos instances Harbor et gérer les dépôts de conteneurs.
Étapes suivantes
Après avoir configuré vos outils de ligne de commande et les contrôles d'accès pour le compte de service du projet, consultez les bonnes pratiques pour la rotation des clés et la gestion de la sécurité à long terme des comptes de service :