1.2.1 创建用户并授权使用企业仓库
操作场景
如果您需要对您所拥有的企业仓库进行精细的权限管理,您可以使用统一身份认证服 务(Identity and Access Management,简称IAM),通过IAM,您可以:
● 根据企业的业务组织,在您的华为云帐号中,给企业中不同职能部门的员工创建 IAM用户,让员工拥有唯一安全凭证,并使用SWR资源。
● 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。
● 将企业仓库资源委托给更专业、高效的其他华为云帐号或者云服务,这些帐号或 者云服务可以根据权限进行代运维。
如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章 节,不影响您使用企业仓库的其他功能。
本章节以授予“SWR FullAccess”权限为例介绍为用户授权的方法。
前提条件
给用户组授权之前,请您了解用户组可以添加的企业仓库权限,并结合实际需求进行 选择,企业仓库支持的系统权限,请参见:SWR企业版权限。若您需要对除SWR之外 的其他服务授权,IAM支持服务的所有权限请参见:系统权限。
示例流程
图1-2 给用户授予企业仓库权限流程
1. 创建用户组并授权
在IAM控制台创建用户组,并授予容器镜像服务的管理员权限“SWR FullAccess”。
2. 创建用户并加入用户组
在IAM控制台创建用户,并将其加入1中创建的用户组。
3. 用户登录并验证权限
新创建的用户登录控制台,切换至授权区域,验证权限:在右上角单击“购买企 业版实例”,如果能购买企业仓库,说明权限设置成功。
1.2.2 企业仓库自定义策略
操作场景
如果系统预置的企业仓库权限不满足您的授权要求,可以创建自定义策略。自定义策 略中可以添加的授权项(Action)请参考表1-1。
目前华为云支持以下两种方式创建自定义策略:
● 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服 务、操作、资源、条件等策略内容,可自动生成策略。
● JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内 容;也可以直接在编辑框内编写JSON格式的策略内容。
具体创建步骤请参见:创建自定义策略。本章为您介绍常用的企业仓库自定义策略样
如果您给用户授予SWR FullAccess的系统策略,但不希望用户拥有SWR
FullAccess中定义的删除企业仓库实例权限,您可以创建一条拒绝删除企业仓库实 例的自定义策略,然后同时将SWR FullAccess和拒绝策略授予用户,根据Deny优 先原则,则用户可以对企业仓库执行除了删除企业仓库实例外的所有操作。拒绝
操作 Action名称 SWR
FullAccess SWR
OperateAcc ess
SWRReadOnlyAcc ess
创建企业版实
例 swr:instance:creat
e √ x x
查询企业版实
例列表 swr:instance:list √ √ √ 查询企业版实
例详情 swr:instance:get √ √ √
操作 Action名称 SWR
FullAccess SWR
OperateAcc ess
SWRReadOnlyAcc ess
删除企业版实
例 swr:instance:delet
e √ x x
创建组织 swr:repository:cre
ateNamespace √ √ x 查询组织列表 swr:repository:list
Namespaces √ √ √
查询组织详情 swr:repository:get
Namespace √ √ √
修改组织 swr:repository:up
dateNamespace √ √ x 删除组织 swr:repository:del
eteNamespace √ √ x 查询制品仓库
列表
swr:repository:list
Repositories √ √ √ 查询制品仓库
dateRepository √ √ x 删除制品仓库 swr:repository:del
eteRepository √ √ x 上传制品 swr:repository:upl
oadArtifact √ √ x 下载制品 swr:repository:do
wnloadArtifact √ √ √ 查询chart列表 swr:chart:list √ √ √ 上传chart swr:chart:upload √ √ x 下载chart swr:chart:downlo
ad √ √ √
删除chart swr:chart:delete √ √ x 创建临时访问
凭证 swr:instance:creat
eTempCredential √ √ √ 创建长期访问
凭证 swr:instance:creat
eLTCredential √ x x 查询长期访问
凭证列表 swr:instance:listLT
Credentials √ √ √
操作 Action名称 SWR
FullAccess SWR
OperateAcc ess
SWRReadOnlyAcc ess
删除长期访问
凭证 swr:instance:delet
eLTCredential √ x x
1.2.3 企业仓库资源
资源是服务中存在的对象。在企业仓库中,资源包括:镜像仓库、企业版实例、Chart 仓库,您可以在创建自定义策略时,通过指定资源路径来选择特定资源。
表1-2 SWR 的指定资源与对应路径
指定资源 资源路径
repository 【格式】
SWR:*:*:repository:镜像仓库名称
instance 【格式】
SWR:*:*:instance:企业版实例名称
"Statement": [ 云原生制品安全托管服务,提供容器镜像、Helm Chart等符合OCI规范的云原生制品 托管。
前提条件
● 已开通容器镜像服务所依赖的云服务:虚拟私有云 VPC、对象存储 OBS、密钥管 理服务 KMS、VPC终端节点 VPCEP。
● 已为容器镜像服务企业版授权您的虚拟私有云、对象存储等资源权限。