全部產品
Search
文件中心

Container Registry:授予RAM使用者系統策略

更新時間:Sep 12, 2024

阿里雲許可權管理機制包括Resource Access Management(簡稱RAM)和安全憑證管理(簡稱STS),靈活使用RAM和STS,可以極大地提高管理的靈活性和安全性。本文介紹如何授予RAM使用者系統策略。

前提條件

已使用阿里雲帳號建立RAM使用者。具體操作,請參見建立RAM使用者

背景資訊

阿里雲許可權管理機制包括存取控制(簡稱RAM)和安全憑證管理(簡稱STS),靈活使用RAM和STS,可以極大地提高管理的靈活性和安全性。預設情況下,阿里雲帳號對自己的資源擁有完整的操作許可權。藉助RAM和STS,可以使不同的RAM使用者擁有訪問鏡像資源的不同許可權,同時也支援提供臨時的訪問授權。在瞭解如何配置授權策略前,請先詳細閱讀RAM產品文檔

重要

授予RAM使用者權限策略後,使用RAM使用者登入容器鏡像控制台,需要建立個人版執行個體和設定Registry密碼,然後才能查看擁有許可權的鏡像資源。

RAM說明

在使用RAM對RAM使用者授權時,請特別關注下面的說明,以免您為RAM使用者授予過大的許可權。

重要

如果您通過RAM為某一個RAM使用者授予阿里雲所有資源的系統管理權限(即AdministratorAccess),無論您之前是否為該RAM使用者授予過鏡像服務的許可權,該RAM使用者都將擁有對鏡像服務的全部許可權。

系統策略說明

ACR預設已建立AliyunContainerRegistryFullAccess和AliyunContainerRegistryReadOnlyAccess策略,您直接授權使用即可。

  • AliyunContainerRegistryFullAccess

    RAM使用者擁有該授權後,對於鏡像資源的許可權等同於阿里雲帳號,可以做任意操作。

    {
      "Statement": [
        {
          "Action": "cr:*",
          "Effect": "Allow",
          "Resource": "*"
        }
      ],
      "Version": "1"
    }
                        
  • AliyunContainerRegistryReadOnlyAccess

    RAM使用者擁有該授權後,對於所有鏡像資源有隻讀許可權,例如:可以查看倉庫列表,Pull鏡像等。

    {
      "Statement": [
        {
          "Action": [
            "cr:Get*",
            "cr:List*",
            "cr:Pull*"
          ],
          "Effect": "Allow",
          "Resource": "*"
        }
      ],
      "Version": "1"
    }               

操作步驟

本文以授予RAM使用者AliyunContainerRegistryReadOnlyAccess許可權為例:

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 使用者

  3. 使用者頁面,單擊目標RAM使用者操作列的添加許可權

    image

    您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。

  4. 新增授權面板,為RAM使用者添加許可權。

    1. 選擇授權應用範圍。

      • 帳號層級:許可權在當前阿里雲帳號內生效。

      • 資源群組層級:許可權在指定的資源群組內生效。

        說明

        指定資源群組授權生效的前提是該雲端服務已支援資源群組。更多資訊,請參見支援資源群組的雲端服務

    2. 輸入被授權主體。

      被授權主體即需要授權的RAM使用者,系統會自動填入當前的RAM使用者,您也可以添加其他RAM使用者。

    3. 所有策略類型下單擊自訂策略在文字框中輸入AliyunContainerRegistryReadOnlyAccess,然後單擊AliyunContainerRegistryReadOnlyAccess

    4. 單擊確認新增授權

  5. 單擊關閉

相關文檔