镜像访问管理
目录
注意
镜像访问管理仅适用于 Docker Business 客户。
镜像访问管理使管理员可以控制其开发人员可以从 Docker Hub 拉取哪些类型的镜像,例如 Docker 官方镜像、Docker 认证发布者镜像或社区镜像。
例如,属于某个组织的开发人员在构建新的容器化应用程序时,可能会意外地使用不可信的社区镜像作为其应用程序的组件。该镜像可能是恶意的,并对公司构成安全风险。使用镜像访问管理,组织所有者可以确保开发人员只能访问受信任的内容,例如 Docker 官方镜像、Docker 认证发布者镜像或组织自己的镜像,从而防止此类风险。
先决条件
您需要 配置 registry.json 以强制执行登录。为了使镜像访问管理生效,Docker Desktop 用户必须向您的组织进行身份验证。
配置镜像访问管理权限
- 登录 Docker Hub。
- 选择**组织**、您的组织、**设置**,然后选择**镜像访问**。
- 启用镜像访问管理以设置您要管理的以下类别镜像的权限
- **组织镜像**: 组织中的镜像默认情况下始终允许。这些镜像可以是公开的或私人的,由组织中的成员创建。
- **Docker 官方镜像**: 在 Hub 上托管的一组经过精选的 Docker 存储库。它们提供操作系统存储库、Dockerfile 的最佳实践、即用型解决方案,并及时应用安全更新。
- **Docker 认证发布者镜像**: 由 Docker 合作伙伴发布的镜像,这些合作伙伴是认证发布者计划的一部分,并有资格加入开发人员安全供应链。
- **社区镜像**: 由于各种用户贡献了这些镜像,因此它们可能存在安全风险,因此默认情况下在启用镜像访问管理时会禁用这些镜像。此类别包括 Docker 赞助的开源镜像。
注意
镜像访问管理默认情况下处于关闭状态。但是,您组织中的所有者可以访问所有镜像,无论设置如何。
- 通过选择**允许**来选择镜像的类别限制。应用限制后,您的成员可以以只读格式查看组织权限页面。
验证限制
在开发人员使用其组织凭据成功向 Docker Desktop 进行身份验证后,新的镜像访问管理策略生效。如果开发人员尝试使用 Docker 拉取不允许的镜像类型,他们会收到错误消息。
抢先体验
Docker 管理控制台是 抢先体验 产品。
它可供所有公司所有者和组织所有者使用。您仍然可以在 Docker Hub 中管理公司和组织,但管理控制台包含用于公司级管理的增强功能。
- 登录 管理控制台。
- 在左侧导航下拉菜单中选择您的组织,然后选择**镜像访问**。
- 启用镜像访问管理以设置您要管理的以下类别镜像的权限
- **组织镜像**: 组织中的镜像默认情况下始终允许。这些镜像可以是公开的或私人的,由组织中的成员创建。
- **Docker 官方镜像**: 在 Hub 上托管的一组经过精选的 Docker 存储库。它们提供操作系统存储库、Dockerfile 的最佳实践、即用型解决方案,并及时应用安全更新。
- **Docker 认证发布者镜像**: 由 Docker 合作伙伴发布的镜像,这些合作伙伴是认证发布者计划的一部分,并有资格加入开发人员安全供应链。
- **社区镜像**: 由于各种用户贡献了这些镜像,因此它们可能存在安全风险,因此默认情况下在启用镜像访问管理时会禁用这些镜像。此类别包括 Docker 赞助的开源镜像。
注意
镜像访问管理默认情况下处于关闭状态。但是,您组织中的所有者可以访问所有镜像,无论设置如何。
- 通过选择**允许**来选择镜像的类别限制。应用限制后,您的成员可以以只读格式查看组织权限页面。
验证限制
在开发人员使用其组织凭据成功向 Docker Desktop 进行身份验证后,新的镜像访问管理策略生效。如果开发人员尝试使用 Docker 拉取不允许的镜像类型,他们会收到错误消息。