访问管理
在本主题中,了解可用于管理对仓库访问的功能。这包括可见性、协作者、角色、团队和组织访问令牌。
仓库可见性
最基本的仓库访问权限通过可见性控制。仓库的可见性可以是公共或私有的。
对于公共可见性,仓库会出现在 Docker Hub 搜索结果中,并且所有人都可以拉取。要管理公共个人仓库的推送访问权限,可以使用协作者。要管理公共组织仓库的推送访问权限,可以使用角色、团队或组织访问令牌。
对于私有可见性,仓库不会出现在 Docker Hub 搜索结果中,并且仅授予拥有权限的人员才能访问。要管理私有个人仓库的推送和拉取访问权限,可以使用协作者。要管理私有组织仓库的推送和拉取访问权限,可以使用角色、团队或组织访问令牌。
更改仓库可见性
在 Docker Hub 中创建仓库时,可以设置仓库可见性。此外,您可以在个人仓库设置中创建仓库时设置默认仓库可见性。以下说明了如何在仓库创建后更改可见性。
更改仓库可见性
登录 Docker Hub。
选择 My Hub > Repositories。
选择一个仓库。
将显示仓库的General页面。
选择Settings标签页。
在可见性设置下,选择以下之一:
- 设为公共:仓库会出现在 Docker Hub 搜索结果中,并且所有人都可以拉取。
- 设为私有:仓库不会出现在 Docker Hub 搜索结果中,并且只有您和协作者才能访问。此外,如果仓库位于组织命名空间中,则具有适用角色或权限的人员才能访问该仓库。
键入仓库名称以验证更改。
选择设为公共或设为私有。
协作者
协作者是您希望授予个人仓库`push`和`pull`访问权限的人。协作者无法执行任何管理任务,例如删除仓库或将其可见性从私有更改为公共。此外,协作者不能添加其他协作者。
只有个人仓库才能使用协作者。您可以向公共仓库添加无限数量的协作者,Docker Pro 账户最多可以向私有仓库添加 1 个协作者。
组织仓库不能使用协作者,但可以使用成员角色、团队或组织访问令牌来管理访问权限。
管理协作者
登录 Docker Hub。
选择 My Hub > Repositories。
将显示您的仓库列表。
选择一个仓库。
将显示仓库的General页面。
选择协作者选项卡。
根据 Docker 用户名添加或删除协作者。
您可以从仓库的设置页面选择协作者并管理他们对私有仓库的访问权限。
组织角色
组织可以为个人使用角色,赋予他们在组织中不同的权限。有关更多详细信息,请参阅角色和权限。
组织团队
组织可以使用团队。团队可以被分配细粒度的仓库访问权限。
配置团队仓库权限
在配置仓库权限之前,您必须先创建一个团队。有关更多详细信息,请参阅创建和管理团队。
配置团队仓库权限
登录 Docker Hub。
选择 My Hub > Repositories。
将显示您的仓库列表。
选择一个仓库。
将显示仓库的General页面。
选择权限选项卡。
添加、修改或删除团队的仓库权限。
- 添加:指定团队,选择权限,然后选择添加。
- 修改:在团队旁边指定新权限。
- 删除:选择团队旁边的删除权限图标。
组织访问令牌 (OATs)
组织可以使用 OAT。OAT 允许您为令牌分配细粒度的仓库访问权限。有关更多详细信息,请参阅组织访问令牌。
门控分发
门控分发允许发布者与外部客户或合作伙伴安全地共享私有容器镜像,而无需授予他们完整的组织访问权限或查看您的团队、协作者或其他仓库的可见性。
此功能非常适合希望控制谁可以拉取特定镜像,同时保持内部用户和外部消费者之间清晰分离的商业软件发布者。
如果您对门控分发感兴趣,请联系 Docker 销售团队获取更多信息。
关键特性
私有仓库分发:内容存储在私有仓库中,只有明确邀请的用户才能访问。
无需组织成员资格的外部访问:外部用户无需添加到您的内部组织即可拉取镜像。
仅拉取权限:外部用户获得仅拉取访问权限,不能推送或修改仓库内容。
仅限邀请的访问:通过经过身份验证的电子邮件邀请授予访问权限,通过 API 管理。
通过 API 邀请分发成员
注意当您邀请成员时,您会为他们分配一个角色。有关每个角色的访问权限详细信息,请参阅角色和权限。
分发成员(用于门控分发)只能使用 Docker Hub API 邀请。目前不支持基于 UI 的邀请。要邀请分发成员,请使用批量创建邀请 API 端点。
邀请分发成员