Auf dieser Seite wird beschrieben, wie Sie die Zugriffssteuerung in der Harbor-as-a-Service-Registry verwalten und dabei das Prinzip der geringsten Berechtigung einhalten. Google Distributed Cloud (GDC) Air-Gapped-Organisations-IAM-Administratoren steuern, wer authentifiziert und autorisiert werden kann, um Harbor-as-a-Service-APIs zu verwenden. Verwenden Sie die integrierte rollenbasierte Zugriffssteuerung von Harbor in jedem Harbor-Projekt, um APIs und den Zugriff in einer Harbor-Instanz zu autorisieren. Weitere Informationen finden Sie unter https://goharbor.io/docs/2.8.0/administration/managing-users/.
Zugriff für Harbor-as-a-Service-APIs konfigurieren
Für jede GDC Harbor-as-a-Service API ist erforderlich, dass der Prinzipal, der die Anfrage stellt, die erforderlichen Berechtigungen zur Verwendung der API-Ressource hat. Berechtigungen werden Hauptkonten zugewiesen, indem Richtlinien festgelegt werden, die dem Hauptkonto eine vordefinierte Rolle für die Ressource zuweisen.
Vordefinierte Harbor-as-a-Service-Rollen
Harbor-as-a-Service bietet vordefinierte Rollen, die Zugriff auf zugehörige API-Ressourcen gewähren und unbefugten Zugriff auf andere Ressourcen verhindern.
Verwenden Sie die folgenden vordefinierten Rollen, um die Ressourcen der Harbor-Instanz zu verwalten und Harbor-Projektressourcen zu erstellen:
- Harbor Instance Viewer: Zeigt die Harbor-Instanz an und ruft sie ab. Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „Harbor Instance Viewer“ (
harbor-instance-viewer) zuzuweisen. - Harbor-Instanzadministrator: Erstellt und verwaltet die Harbor-Instanz und erstellt Harbor-Projekte in der Harbor-Instanz. Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „Harbor Instance Admin“ (
harbor-instance-admin) zuzuweisen. - Harbor Project Creator: Erstellt Harbor-Projekte in der Harbor-Instanz.
Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „Harbor Project Creator“ (
harbor-project-creator) zuzuweisen.
Zugriff für APIs und innerhalb einer Harbor-Instanz konfigurieren
Verwenden Sie in einer Harbor-Instanz die integrierte rollenbasierte Zugriffssteuerung von Harbor in jedem Harbor-Projekt, um zu steuern, wer berechtigt ist, die APIs zu verwenden und auf Ressourcen im Harbor-Projekt zuzugreifen. Weitere Informationen finden Sie unter https://goharbor.io/docs/2.8.0/administration/managing-users/.
Dem Nutzer, der das Harbor-Projekt erstellt, wird automatisch die Rolle ProjectAdmin für das Harbor-Projekt zugewiesen. Der ProjectAdmin-Nutzer kann anderen Nutzern Rollen für das Harbor-Projekt zuweisen. Alle verfügbaren Rollen finden Sie unter https://goharbor.io/docs/2.8.0/administration/managing-users/user-permissions-by-role/.