Nesta página, descrevemos como gerenciar o controle de acesso no registro do Harbor como serviço seguindo os princípios de privilégio mínimo. Os administradores do IAM da organização da Google Distributed Cloud (GDC) com isolamento físico controlam quem pode ser autenticado e autorizado a usar as APIs do Harbor-as-a-Service. Para autorizar APIs e acesso em uma instância do Harbor, use o controle de acesso baseado em papéis integrado do Harbor em cada projeto do Harbor. Para mais informações, consulte https://goharbor.io/docs/2.8.0/administration/managing-users/.
Configurar o acesso às APIs do Harbor como serviço
Cada API do GDC Harbor-as-a-Service exige que o principal que faz a solicitação tenha as permissões necessárias para usar o recurso da API. As permissões são concedidas aos principais ao definir políticas que concedem a eles uma função predefinida no recurso.
Papéis predefinidos do Harbor como serviço
O Harbor-as-a-Service oferece papéis predefinidos que concedem acesso a recursos relacionados da API e impedem o acesso não autorizado a outros recursos.
Use os seguintes papéis predefinidos para gerenciar os recursos da instância do Harbor e criar recursos do projeto do Harbor:
- Leitor de instâncias do Harbor: visualiza e recebe a instância do Harbor. Peça ao administrador do IAM da organização para conceder a você o papel de leitor de instâncias do Harbor (
harbor-instance-viewer). - Administrador da instância do Harbor: cria e gerencia a instância do Harbor e
cria projetos do Harbor na instância do Harbor. Peça ao administrador do IAM da organização para conceder a você o papel de Administrador da instância do Harbor (
harbor-instance-admin). - Criador de projetos do Harbor: cria projetos do Harbor na instância do Harbor.
Peça ao administrador do IAM da organização para conceder a você o papel de criador de projetos do Harbor (
harbor-project-creator).
Configurar o acesso para APIs e em uma instância do Harbor
Em uma instância do Harbor, use o controle de acesso baseado em função integrado do Harbor em cada projeto do Harbor para controlar quem está autorizado a usar as APIs e acessar recursos no projeto do Harbor. Para mais informações, consulte https://goharbor.io/docs/2.8.0/administration/managing-users/.
O usuário que cria o projeto do Harbor recebe automaticamente o papel
ProjectAdmin para ele. O usuário ProjectAdmin pode atribuir
papéis para o projeto do Harbor a outros usuários. Para conferir todas as funções disponíveis, acesse
https://goharbor.io/docs/2.8.0/administration/managing-users/user-permissions-by-role/.