En esta página, se describe cómo administrar el control de acceso en el registro de Harbor como servicio y, al mismo tiempo, cumplir con los principios de privilegio mínimo. Los administradores de IAM de la organización de Google Distributed Cloud (GDC) con aislamiento de aire controlan quién puede autenticarse y autorizarse para usar las APIs de Harbor-as-a-Service. Para autorizar APIs y acceso en una instancia de Harbor, usa el control de acceso basado en roles integrado de Harbor en cada proyecto de Harbor. Para obtener más información, consulta https://goharbor.io/docs/2.8.0/administration/managing-users/.
Configura el acceso a las APIs de Harbor-as-a-Service
Cada API de GDC Harbor-as-a-Service requiere que la principal que realiza la solicitud tenga los permisos necesarios para usar el recurso de la API. Los permisos se otorgan a las principales configurando políticas que les otorgan un rol predefinido en el recurso.
Roles predefinidos de Harbor como servicio
Harbor-as-a-Service proporciona roles predefinidos que otorgan acceso a recursos de API relacionados y evitan el acceso no autorizado a otros recursos.
Usa los siguientes roles predefinidos para administrar los recursos de instancias de Harbor y crear recursos de proyectos de Harbor:
- Visualizador de instancias de Harbor: Visualiza y obtiene la instancia de Harbor. Solicita a tu administrador de IAM de la organización que te otorgue el rol de visualizador de instancias de Harbor (
harbor-instance-viewer). - Administrador de instancias de Harbor: Crea y administra la instancia de Harbor, y crea proyectos de Harbor en la instancia de Harbor. Pídele al administrador de IAM de la organización que te otorgue el rol de administrador de instancias de Harbor (
harbor-instance-admin). - Creador de proyectos de Harbor: Crea proyectos de Harbor en la instancia de Harbor.
Pídele al administrador de IAM de la organización que te otorgue el rol de creador de proyectos de Harbor (
harbor-project-creator).
Configura el acceso a las APIs y dentro de una instancia de Harbor
Dentro de una instancia de Harbor, usa el control de acceso basado en roles integrado de Harbor en cada proyecto de Harbor para controlar quién está autorizado a usar las APIs y acceder a los recursos en el proyecto de Harbor. Para obtener más información, consulta https://goharbor.io/docs/2.8.0/administration/managing-users/.
Al usuario que crea el proyecto de Harbor se le asigna automáticamente el rol de ProjectAdmin para ese proyecto. El usuario ProjectAdmin puede asignar roles para el proyecto de Harbor a otros usuarios. Para ver todos los roles disponibles, consulta https://goharbor.io/docs/2.8.0/administration/managing-users/user-permissions-by-role/.