組織存取權杖

目錄

測試版

組織存取權杖功能目前處於 測試版

警告

組織存取權杖目前與以下服務不相容

  • Docker Build Cloud
  • Docker Scout
  • Docker REST API

如果您使用這些服務,則必須改用個人存取權杖。

組織存取權杖 (OAT) 類似於 個人存取權杖 (PAT),但 OAT 與組織關聯,而不是單個使用者帳戶。 使用 OAT 取代 PAT,讓關鍵業務任務可以存取 Docker Hub 儲存庫,而無需將權杖連線到單個使用者。 您必須擁有 Docker 團隊或商業訂閱 才能使用 OAT。

OAT 提供以下優點

  • 您可以調查 OAT 的上次使用時間,然後在發現任何可疑活動時停用或刪除它。
  • 您可以限制每個 OAT 的存取權限,這可以限制 OAT 遭到入侵時的影響。
  • 所有組織所有者都可以管理 OAT。 如果一位所有者離開組織,其餘所有者仍然可以管理 OAT。
  • OAT 具有自己的 Docker Hub 使用限制,不計入您的個人帳戶限制。

如果您現有 服務帳戶,Docker 建議您將服務帳戶替換為 OAT。 OAT 比服務帳戶提供以下優點

  • 使用 OAT 更容易管理存取權限。 您可以將存取權限指派給 OAT,而服務帳戶需要使用團隊來取得存取權限。
  • OAT 更容易管理。 OAT 在管理主控台中集中管理。 對於服務帳戶,您可能需要登入該服務帳戶才能管理它。 如果使用單一登入強制執行,且服務帳戶不在您的 IdP 中,您可能無法登入服務帳戶來管理它。
  • OAT 不與單個使用者關聯。 如果可以存取服務帳戶的使用者離開您的組織,您可能會失去對服務帳戶的存取權限。 OAT 可以由任何組織所有者管理。

建立組織存取權杖

重要

將存取權杖視為密碼並保密。 例如,將您的權杖安全地儲存在憑證管理器中。

組織所有者可以為具有團隊訂閱的組織建立最多 10 個組織存取權杖 (OAT),以及為具有商業訂閱的組織建立最多 100 個 OAT。 過期的權杖計入權杖總數。

若要建立 OAT

  1. 登入 管理主控台

  2. 選擇您要建立存取權杖的組織。

  3. 在「安全性和存取」下,選擇「存取權杖」。

  4. 選擇「產生存取權杖」。

  5. 為您的權杖新增標籤和選填說明。使用一些能指示權杖用途或目的的內容。

  6. 選擇權杖的到期日。

  7. 選擇權杖的儲存庫存取權。

    存取權限是設定儲存庫限制的範圍。例如,對於讀取和寫入權限,自動化流水線可以建置映像,然後將其推送至儲存庫。但是,它無法刪除儲存庫。您可以選擇下列其中一個選項

    • 公開儲存庫(唯讀)
    • 所有儲存庫:您可以選擇讀取存取權或讀取和寫入存取權。
    • 選擇儲存庫:您最多可以選擇 50 個儲存庫,然後為每個儲存庫選擇讀取存取權或讀取和寫入存取權。

  8. 選擇「產生權杖」,然後複製螢幕上顯示的權杖並儲存。離開螢幕後,您將無法再次取得權杖。

使用組織存取權杖

使用 Docker CLI 登入時,您可以使用組織存取權杖。

使用以下指令從您的 Docker CLI 用戶端登入,將 YOUR_ORG 替換為您的組織名稱

$ docker login --username <YOUR_ORG>

出現密碼提示時,請輸入您的組織存取權杖,而不是密碼。

修改現有權杖

您可以根據需要重新命名、更新說明、更新儲存庫存取權、停用或刪除權杖。

  1. 登入 管理主控台

  2. 選擇您要修改其存取權杖的組織。

  3. 在「安全性和存取」下,選擇「存取權杖」。

  4. 選擇權杖列最右側的動作選單,然後選擇「停用」、「編輯」或「刪除」來修改權杖。對於「非使用中」的權杖,您只能選擇「刪除」。

  5. 如果要編輯權杖,請在指定修改後選擇「儲存」。