图像访问管理
笔记
映像访问管理仅适用于 Docker Business客户。
镜像访问管理使管理员能够控制开发人员可以从 Docker Hub 提取哪些类型的镜像,例如 Docker 官方镜像、Docker 验证发布者镜像或社区镜像。
例如,组织中的开发人员在构建新的容器化应用程序时可能会意外地使用不受信任的社区映像作为其应用程序的组件。该图像可能是恶意的,会给公司带来安全风险。使用镜像访问管理,组织所有者可以确保开发人员只能访问受信任的内容,例如 Docker 官方镜像、Docker 验证发布者镜像或组织自己的镜像,从而防止此类风险。
先决条件
您需要 配置registry.json以强制登录。为了使映像访问管理生效,Docker Desktop 用户必须向您的组织进行身份验证。
配置图像访问管理权限
- 登录 Docker Hub。
- 选择组织、您的组织、设置,然后选择图像访问。
- 启用图像访问管理可为您可以管理的以下图像类别设置权限:
- 组织图像:默认情况下始终允许来自您组织的图像。这些图像可以是由组织内的成员公开或私人创建的。
- Docker 官方图像:Hub 上托管的一组精选的 Docker 存储库。他们提供操作系统存储库、Dockerfile 的最佳实践、嵌入式解决方案,并按时应用安全更新。
- Docker Verified Publisher Images:由 Docker 合作伙伴发布的镜像,属于 Verified Publisher 计划的一部分,并且有资格包含在开发人员安全供应链中。
- 社区镜像:当启用镜像访问管理时,这些镜像默认被禁用,因为不同的用户贡献它们,它们可能会带来安全风险。此类别包括 Docker 赞助的开源图像。
笔记
默认情况下,图像访问管理处于关闭状态。但是,无论设置如何,组织中的所有者都可以访问所有图像。
- 通过选择“允许”来选择图像的类别限制。应用限制后,您的成员可以以只读格式查看组织权限页面。
验证限制
新的映像访问管理策略在开发人员使用其组织凭据成功通过 Docker Desktop 身份验证后生效。如果开发人员尝试使用 Docker 提取不允许的映像类型,他们会收到一条错误消息。
抢先体验
Docker 管理控制台是一个 早期访问产品。
所有公司所有者和组织所有者都可以使用它。您仍然可以在 Docker Hub 中管理公司和组织,但管理控制台包含公司级管理的增强功能。
- 登录 管理控制台。
- 在左侧导航下拉菜单中选择您的组织,然后选择“图像访问”。
- 启用图像访问管理可为您可以管理的以下图像类别设置权限:
- 组织图像:默认情况下始终允许来自您组织的图像。这些图像可以是由组织内的成员公开或私人创建的。
- Docker 官方图像:Hub 上托管的一组精选的 Docker 存储库。他们提供操作系统存储库、Dockerfile 的最佳实践、嵌入式解决方案,并按时应用安全更新。
- Docker Verified Publisher Images:由 Docker 合作伙伴发布的镜像,属于 Verified Publisher 计划的一部分,并且有资格包含在开发人员安全供应链中。
- 社区镜像:当启用镜像访问管理时,这些镜像默认被禁用,因为不同的用户贡献它们,它们可能会带来安全风险。此类别包括 Docker 赞助的开源图像。
笔记
默认情况下,图像访问管理处于关闭状态。但是,无论设置如何,组织中的所有者都可以访问所有图像。
- 通过选择“允许”来选择图像的类别限制。应用限制后,您的成员可以以只读格式查看组织权限页面。
验证限制
新的映像访问管理策略在开发人员使用其组织凭据成功通过 Docker Desktop 身份验证后生效。如果开发人员尝试使用 Docker 提取不允许的映像类型,他们会收到一条错误消息。