镜像访问管理
目录
订阅: 商业版
适用于: 管理员
镜像访问管理让您可以控制您的开发者可以从 Docker Hub 拉取哪些类型的镜像,例如 Docker 官方镜像、Docker 验证发布者镜像或社区镜像。
例如,作为组织成员的开发者在构建新的容器化应用程序时,可能会不小心使用不受信任的社区镜像作为其应用程序的组件。此镜像可能包含恶意内容,对公司构成安全风险。通过使用镜像访问管理,组织所有者可以确保开发者只能访问可信内容,例如 Docker 官方镜像、Docker 验证发布者镜像或组织自己的镜像,从而防止此类风险。
前提条件
您首先需要强制登录,以确保所有 Docker Desktop 开发者都通过您的组织凭证进行认证。由于镜像访问管理需要 Docker 商业版订阅,强制登录保证了只有认证用户才有访问权限,并且此功能在所有用户上都一致生效,即使在未强制登录的情况下它可能仍然有效。
配置
- 登录Admin Console。
- 在左侧导航下拉菜单中选择您的组织,然后选择Image access。
- 启用镜像访问管理以设置您可以管理的以下镜像类别的权限:
- 组织镜像:您的组织中的镜像默认始终允许。这些镜像可以是组织成员创建的公共或私有镜像。
- Docker 官方镜像:托管在 Hub 上的一组精选 Docker 仓库。它们提供操作系统仓库、Dockerfile 最佳实践、即用型解决方案,并按时应用安全更新。
- Docker 验证发布者镜像:由 Docker 合作伙伴发布且属于验证发布者计划的一部分,并有资格被纳入开发者安全供应链的镜像。
- 社区镜像:启用镜像访问管理后,这些镜像默认禁用,因为它们由各种用户贡献,可能构成安全风险。此类别包括 Docker 赞助开源镜像。
注意
镜像访问管理默认关闭。但是,组织中的所有者无论设置如何,都拥有所有镜像的访问权限。
- 通过选择Allowed来选择镜像的类别限制。应用限制后,您的成员可以以只读格式查看组织权限页面。
验证限制
新的镜像访问管理策略在开发者使用其组织凭证成功认证到 Docker Desktop 后生效。如果开发者尝试使用 Docker 拉取不允许的镜像类型,他们会收到错误消息。
重要提示
组织管理正在迁移到 Admin Console。
在 Docker Admin Console 中管理成员、团队、设置和活动日志。在 Docker Hub 中访问这些功能的权限将很快结束。探索Admin Console。
- 登录Docker Hub。
- 选择My Hub,在左侧导航下拉菜单中选择您的组织,然后选择Image access。
- 启用镜像访问管理以设置您可以管理的以下镜像类别的权限:
- 组织镜像:您的组织中的镜像默认始终允许。这些镜像可以是组织成员创建的公共或私有镜像。
- Docker 官方镜像:托管在 Hub 上的一组精选 Docker 仓库。它们提供操作系统仓库、Dockerfile 最佳实践、即用型解决方案,并按时应用安全更新。
- Docker 验证发布者镜像:由 Docker 合作伙伴发布且属于验证发布者计划的一部分,并有资格被纳入开发者安全供应链的镜像。
- 社区镜像:启用镜像访问管理后,这些镜像默认禁用,因为它们由各种用户贡献,可能构成安全风险。此类别包括 Docker 赞助开源镜像。
注意
镜像访问管理默认关闭。但是,组织中的所有者无论设置如何,都拥有所有镜像的访问权限。
- 通过选择Allowed来选择镜像的类别限制。应用限制后,您的成员可以以只读格式查看组织权限页面。
验证限制
新的镜像访问管理策略在开发者使用其组织凭证成功认证到 Docker Desktop 后生效。如果开发者尝试使用 Docker 拉取不允许的镜像类型,他们会收到错误消息。