Halaman ini menjelaskan cara mengelola kontrol akses di registry Harbor-as-a-Service sambil mematuhi prinsip hak istimewa terendah. Administrator IAM Organisasi yang terisolasi dari internet Google Distributed Cloud (GDC) mengontrol siapa yang dapat diautentikasi dan diberi otorisasi untuk menggunakan API Harbor-as-a-Service. Untuk memberikan otorisasi API dan akses dalam instance Harbor, gunakan kontrol akses berbasis peran bawaan Harbor di setiap project Harbor. Untuk mengetahui informasi selengkapnya, lihat https://goharbor.io/docs/2.8.0/administration/managing-users/.
Mengonfigurasi akses untuk API Harbor-as-a-Service
Setiap GDC Harbor-as-a-Service API mengharuskan akun utama yang membuat permintaan memiliki izin yang diperlukan untuk menggunakan resource API. Izin diberikan kepada akun utama dengan menetapkan kebijakan yang memberikan peran yang telah ditentukan sebelumnya kepada akun utama pada resource.
Peran Harbor-as-a-Service yang telah ditentukan sebelumnya
Harbor-as-a-Service menyediakan peran yang telah ditetapkan yang memberikan akses ke resource API terkait dan mencegah akses tidak sah ke resource lainnya.
Gunakan peran standar berikut untuk mengelola resource Instance Harbor dan membuat resource Project Harbor:
- Pelihat Instance Harbor: melihat dan mendapatkan instance Harbor. Minta Admin IAM Organisasi Anda untuk memberi Anda peran Harbor Instance Viewer (
harbor-instance-viewer). - Admin Instance Harbor: membuat dan mengelola instance Harbor, serta
membuat project Harbor di instance Harbor. Minta Admin IAM Organisasi Anda untuk memberi Anda peran Harbor Instance Admin (
harbor-instance-admin). - Pembuat Project Harbor: membuat project Harbor di instance Harbor.
Minta Admin IAM Organisasi Anda untuk memberi Anda peran Harbor Project Creator (
harbor-project-creator).
Mengonfigurasi akses untuk API dan dalam instance Harbor
Dalam instance Harbor, gunakan kontrol akses berbasis peran bawaan Harbor di setiap project Harbor untuk mengontrol siapa yang berwenang menggunakan API dan mengakses resource dalam project Harbor. Untuk mengetahui informasi selengkapnya, lihat https://goharbor.io/docs/2.8.0/administration/managing-users/.
Pengguna yang membuat project Harbor secara otomatis diberi peran
ProjectAdmin untuk project Harbor. Pengguna ProjectAdmin dapat menetapkan
peran untuk project Harbor kepada pengguna lain. Untuk semua peran yang tersedia, lihat
https://goharbor.io/docs/2.8.0/administration/managing-users/user-permissions-by-role/.
Menggunakan akun layanan untuk berinteraksi dengan MHS
Anda dapat menggunakan akun layanan untuk berinteraksi dengan MHS. Dengan menggunakan akun layanan project, otomatisasi Anda akan terintegrasi langsung ke alur autentikasi IAM GDC, sehingga beban kerja Anda dapat membuat token berumur pendek secara otomatis tanpa mengelola kredensial statis secara manual.
Untuk menyiapkan, mengaktifkan identitas, dan memberikan izin project untuk mengotomatiskan autentikasi bagi MHS, ikuti langkah-langkah di Mengelola akun layanan.
Setelah menyelesaikan langkah-langkah penyiapan ini, identitas akun layanan Anda dapat berinteraksi dengan aman dengan instance Harbor Anda dan mengelola repositori penampung.
Langkah berikutnya
Setelah mengonfigurasi alat command line dan kontrol akses untuk akun layanan project, tinjau praktik standar untuk mengganti kunci dan mengelola keamanan akun layanan jangka panjang: