个人访问令牌
目录
个人访问令牌 (PAT) 为 Docker CLI 身份验证提供了一种比密码更安全的替代方案。使用 PAT 可以在不暴露 Docker Hub 密码的情况下对自动化系统、CI/CD 管道和开发工具进行身份验证。
主要优势
PAT 比密码身份验证具有显著的安全优势
- 增强安全性:调查令牌使用情况,禁用可疑令牌,并防止在系统受到威胁时可能危及您账户的管理操作。
- 更好的自动化:为不同的集成颁发多个令牌,每个令牌具有特定权限,并在不再需要时独立撤销它们。
- 双因素身份验证兼容性:当您启用双因素身份验证时,需要此功能,提供安全的 CLI 访问而无需绕过 2FA 保护。
- 使用跟踪:监控令牌何时以及如何使用,以识别潜在的安全问题或未使用的自动化。
谁应该使用个人访问令牌?
在这些常见场景中使用 PAT
- 开发工作流程:在本地开发期间对 Docker CLI 进行身份验证
- CI/CD 管道:在持续集成系统中自动化镜像构建和部署
- 自动化脚本:在自动化部署或备份脚本中推送和拉取镜像
- 开发工具:将 Docker Hub 访问与 IDE、容器管理工具或监控系统集成
- 双因素身份验证:当启用 2FA 时,CLI 访问所需
注意对于组织范围的自动化,请考虑组织访问令牌,它们不与个人用户账户绑定。
创建个人访问令牌
重要像密码一样对待访问令牌并确保其安全。将令牌存储在凭证管理器中,切勿将其提交到源代码仓库。
创建个人访问令牌
- 登录到Docker Home。
- 在右上角选择您的头像,然后从下拉菜单中选择账户设置。
- 选择个人访问令牌。
- 选择生成新令牌。
- 配置您的令牌
- 描述:使用描述性名称,指明令牌的用途
- 过期日期:根据您的安全策略设置过期日期
- 访问权限:读取、写入或删除。
- 选择生成。复制屏幕上出现的令牌并保存。退出屏幕后将无法检索该令牌。
使用个人访问令牌
使用您的个人访问令牌登录 Docker CLI
$ docker login --username <YOUR_USERNAME>
Password: [paste your PAT here]
当系统提示输入密码时,输入您的个人访问令牌而不是您的 Docker Hub 密码。
修改个人访问令牌
注意您无法编辑现有个人访问令牌的过期日期。如果需要设置新的过期日期,则必须创建新的 PAT。
您可以根据需要重命名、激活、停用或删除令牌。您可以在账户设置中管理您的令牌。
- 登录 Docker Home。
- 在右上角选择您的头像,然后从下拉菜单中选择账户设置。
- 选择个人访问令牌。
- 此页面显示所有令牌的概览,并列出令牌是手动生成还是自动生成。您还可以查看令牌的范围、哪些令牌处于激活和非激活状态、何时创建、上次使用时间以及过期日期。
- 选择令牌行最右侧的操作菜单,然后选择停用或激活、编辑或删除以修改令牌。
- 编辑令牌后,选择保存令牌。
自动生成令牌
当您登录 Docker Desktop 时,Docker Desktop 会自动创建具有以下特征的身份验证令牌
- 自动创建:当您登录 Docker Desktop 时生成
- 完全权限:包括读取、写入和删除访问权限
- 基于会话:当 Docker Desktop 会话过期时自动删除
- 账户限制:每个账户最多 5 个自动生成的令牌
- 自动清理:创建新令牌时,较旧的令牌会被删除
如果需要,您可以手动删除自动生成的令牌,但当您使用 Docker Desktop 时,它们会重新创建。
公平使用政策
使用个人访问令牌时,请注意,过度创建令牌可能会导致限制或额外费用。Docker 保留对过度使用 PAT 的账户施加限制的权利,以确保公平的资源分配并维护服务质量。
公平使用的最佳实践包括
- 在相似用例中重复使用令牌,而不是创建许多一次性令牌
- 定期删除未使用的令牌
- 使用组织访问令牌进行组织范围的自动化
- 监控令牌使用情况以识别优化机会