组织访问令牌
目录
组织访问令牌 (OAT) 为自动化系统、CI/CD 管道和其他业务关键型任务提供对 Docker Hub 的安全、编程访问。与绑定到个人用户的个人访问令牌不同,OAT 与您的组织相关联,并可由任何组织所有者管理。
警告组织访问令牌与 Docker Desktop、镜像访问管理和注册表访问管理不兼容。如果您使用这些功能,请改用个人访问令牌。
谁应该使用组织访问令牌?
使用 OATs 用于需要 Docker Hub 访问而不依赖于个人用户帐户的自动化系统
- CI/CD 管道:用于推送和拉取镜像的构建和部署系统
- 生产系统:在部署期间拉取镜像的应用程序
- 监控工具:需要检查存储库状态或拉取镜像的系统
- 备份系统:定期拉取镜像以进行归档的工具
- 集成服务:与您的 Docker Hub 存储库集成的第三方工具
主要优势
使用组织访问令牌的好处包括
- 组织所有权:不与可能离开公司的个人用户绑定
- 共享管理:所有组织所有者都可以创建和管理 OATs
- 独立使用限制:OATs 具有自己的 Docker Hub 速率限制,不计入个人帐户
- 更好的安全审计:跟踪令牌上次使用的时间并识别可疑活动
- 精细权限:限制对特定存储库和操作的访问
先决条件
要创建和使用组织访问令牌,您必须具备
- Docker Team 或 Business 订阅
- 所有者权限
- 您希望授予访问权限的存储库
创建组织访问令牌
所有者可以使用这些限制创建令牌
- 团队订阅:每个组织最多 10 个 OAT
- 商业订阅:每个组织最多 100 个 OAT
过期令牌计入您的总限额。
创建 OAT
- 登录 Docker Home 并选择您的组织。
- 选择 管理控制台,然后选择 访问令牌。
- 选择 生成访问令牌。
- 配置令牌详细信息
- 标签:描述性名称,指示令牌的用途
- 描述(可选):附加详细信息
- 过期日期:令牌应何时过期
- 展开 存储库 下拉菜单以设置访问权限
- 可选。选择 读取公共存储库 以访问公共存储库。
- 选择 添加存储库 并从下拉菜单中选择一个存储库。
- 为每个存储库设置权限:镜像拉取 或 镜像推送。
- 根据需要添加最多 50 个存储库。
- 可选。通过展开 组织 下拉菜单并选择 允许管理此组织的资源 来配置组织管理权限
- 成员编辑:编辑组织的成员
- 成员读取:读取组织的成员
- 邀请编辑:邀请成员加入组织
- 邀请读取:读取组织的邀请
- 组编辑:编辑组织的组
- 组读取:读取组织的组
- 选择 生成令牌。复制屏幕上显示的令牌并保存。退出屏幕后将无法检索令牌。
重要将组织访问令牌视为密码。将其安全地存储在凭据管理器中,切勿将其提交到源代码存储库。
使用组织访问令牌
使用您的组织访问令牌登录 Docker CLI
$ docker login --username <YOUR_ORGANIZATION_NAME>
Password: [paste your OAT here]
当提示输入密码时,输入您的组织访问令牌。
修改现有令牌
管理现有令牌
- 登录 Docker Home 并选择您的组织。
- 选择 管理控制台,然后选择 访问令牌。
- 在令牌行中选择操作菜单,您可以
- 编辑
- 停用
- 删除
- 对令牌进行更改后选择 保存。
组织访问令牌最佳实践
- 定期令牌轮换:设置合理的过期日期并定期轮换令牌,以最大程度地降低安全风险。
- 最小权限原则:仅授予每个用例所需的最低存储库访问权限和权限。
- 监控令牌使用情况:定期查看令牌上次使用的时间,以识别未使用的或可疑的令牌。
- 安全存储:将令牌存储在安全的凭据管理系统中,切勿以纯文本或源代码形式存储。
- 立即撤销:如果令牌被泄露或不再需要,请立即停用或删除令牌。