Cette page explique comment gérer le contrôle des accès dans le registre Harbor-as-a-Service tout en respectant le principe du moindre privilège. Les administrateurs IAM de l'organisation Google Distributed Cloud (GDC) air-gapped contrôlent qui peut être authentifié et autorisé à utiliser les API Harbor-as-a-Service. Pour autoriser les API et l'accès dans une instance Harbor, utilisez le contrôle des accès basé sur les rôles intégré à Harbor dans chaque projet Harbor. Pour en savoir plus, consultez https://goharbor.io/docs/2.8.0/administration/managing-users/.
Configurer l'accès aux API Harbor-as-a-Service
Chaque API GDC Harbor-as-a-Service exige que le principal effectuant la requête dispose des autorisations requises pour utiliser la ressource d'API. Les autorisations sont accordées aux comptes principaux en définissant des stratégies qui leur attribuent un rôle prédéfini sur la ressource.
Rôles prédéfinis Harbor-as-a-Service
Harbor-as-a-Service fournit des rôles prédéfinis qui accordent l'accès aux ressources d'API associées et empêchent les accès non autorisés aux autres ressources.
Utilisez les rôles prédéfinis suivants pour gérer les ressources d'instance Harbor et créer des ressources de projet Harbor :
- Lecteur d'instances Harbor : affiche et obtient l'instance Harbor. Demandez à votre administrateur IAM de l'organisation de vous attribuer le rôle Lecteur d'instance Harbor (
harbor-instance-viewer). - Administrateur d'instance Harbor : crée et gère l'instance Harbor, et crée des projets Harbor dans l'instance Harbor. Demandez à votre administrateur IAM de l'organisation de vous attribuer le rôle Administrateur d'instance Harbor (
harbor-instance-admin). - Créateur de projet Harbor : crée des projets Harbor dans l'instance Harbor.
Demandez à votre administrateur IAM de l'organisation de vous accorder le rôle Créateur de projets Harbor (
harbor-project-creator).
Configurer l'accès aux API et dans une instance Harbor
Dans une instance Harbor, utilisez le contrôle des accès basé sur les rôles intégré à Harbor dans chaque projet Harbor pour contrôler qui est autorisé à utiliser les API et à accéder aux ressources du projet Harbor. Pour en savoir plus, consultez https://goharbor.io/docs/2.8.0/administration/managing-users/.
L'utilisateur qui crée le projet Harbor se voit automatiquement attribuer le rôle ProjectAdmin pour ce projet. L'utilisateur ProjectAdmin peut attribuer des rôles pour le projet Harbor à d'autres utilisateurs. Pour consulter tous les rôles disponibles, accédez à https://goharbor.io/docs/2.8.0/administration/managing-users/user-permissions-by-role/.