组织访问令牌

警告

组织访问令牌目前不兼容以下服务：

• Docker Build Cloud
• Docker Scout
• Docker REST APIs

如果您使用这些服务，则必须改用个人访问令牌。

组织访问令牌 (OAT) 类似于 个人访问令牌 (PAT)，但 OAT 与组织关联， 而非单个用户账户。使用 OAT 代替 PAT， 可以让关键业务任务访问 Docker Hub 仓库，而无需将 令牌连接到单个用户。您必须拥有 Docker 团队版或商业版 订阅才能使用 OAT。

OAT 提供以下优势：

• 您可以调查 OAT 上次使用的时间，如果发现任何可疑活动，则将其禁用或删除。
• 您可以限制每个 OAT 的访问权限，从而在 OAT 遭到入侵时限制其影响。
• 所有组织所有者都可以管理 OAT。如果一名所有者离开组织， 其余所有者仍可以管理这些 OAT。
• OATs 拥有独立的 Docker Hub 使用限制，不占用您个人账户的限额。

如果您拥有现有的 服务账号，Docker 建议您使用 OAT 替换服务账号。与服务账号相比，OAT 具有以下优势：

• 使用 OAT 可以更轻松地管理访问权限。您可以为 OAT 分配访问权限，而服务账户则需要使用团队来管理访问权限。
• OAT 更易于管理。OAT 在管理控制台中进行集中管理。 对于服务账户，您可能需要登录该服务账户才能对其进行管理。 如果使用单点登录强制执行，且服务账户不在您的 IdP 中， 您可能无法登录该服务账户进行管理。
• OAT 未与单个用户关联。如果有权访问服务帐号的用户离开您的组织，您可能会失去对该服务帐号的访问权限。OAT 可由任何组织所有者管理。

创建组织访问令牌

重要

请像对待密码一样对待访问令牌，并对其保密。例如，将您的令牌安全地存储在凭据管理器中。

组织所有者可以为拥有团队订阅的组织创建最多 10 个组织访问令牌 (OAT)，为拥有商业订阅的组织创建最多 100 个 OAT。过期的令牌计入令牌总数。

创建 OAT：

1. 登录到 管理控制台。

2. 选择您要为其创建访问令牌的组织。

3. 在 安全与访问 下，选择 访问令牌。

4. 选择 生成访问令牌。

5. 为您的令牌添加标签和可选描述。使用能表明令牌用例或用途的内容。

6. 选择令牌的过期日期。

7. 选择令牌的仓库访问权限。

   访问权限是用于在仓库中设置限制的范围。 例如，对于读取和写入权限，自动化流水线可以构建 镜像，然后将其推送到仓库。但是，它不能删除 仓库。您可以选择以下选项之一：

   • 公共仓库（只读）
   • 所有仓库：您可以选择只读访问权限，或者读写访问权限。
   • 选择仓库：您最多可以选择 50 个仓库，然后为每个仓库选择读取权限，或读取和写入权限。

8. 选择 生成令牌，然后复制屏幕上显示的令牌并保存。一旦您退出该屏幕，将无法再次检索该令牌。

使用组织访问令牌

您可以使用组织访问令牌通过 Docker CLI 登录。

使用以下命令从您的 Docker CLI 客户端登录，将 YOUR_ORG替换为您的组织名称：

$ docker login --username <YOUR_ORG>

当提示输入密码时，请输入您的组织访问令牌，而不是密码。

修改现有令牌

您可以根据需要重命名、更新描述、更新仓库访问权限、停用或删除令牌。

1. 登录到 管理控制台。

2. 选择您要修改访问令牌的组织。

3. 在 安全与访问 下，选择 访问令牌。

4. 选择令牌行最右侧的操作菜单，然后选择 停用、编辑或删除以修改令牌。对于未激活的 令牌，您只能选择删除。

5. 如果正在编辑令牌，请在指定修改内容后选择保存。