组织访问令牌

试用版

组织访问令牌功能目前处于 Beta 阶段

警告

组织访问令牌目前与以下服务不兼容:

  • Docker 构建云
  • Docker 侦查兵
  • Docker REST API

如果您使用这些服务,则必须改用 personal access tokens。

组织访问令牌 (OAT) 类似于个人访问令牌 (PAT) 的 BAT,但 OAT 与 一个组织,而不是单个用户帐户。使用 OAT 而不是 PAT 来 允许业务关键型任务访问 Docker Hub 存储库,而无需连接 令牌分配给单个用户。您必须拥有 Docker 团队或业务 订阅以使用 OAT。

OAT 具有以下优势:

  • 您可以调查 OAT 的上次使用时间,然后禁用或删除它 如果您发现任何可疑活动。
  • 您可以限制每个 OAT 有权访问的内容,从而限制 OAT 在 被入侵。
  • 所有组织所有者都可以管理 OAT。如果一个所有者离开组织, 其余所有者仍然可以管理 OAT。
  • OAT 有自己的 Docker Hub 使用限制,这些限制不计入您的 个人帐户的限制。

如果您已经有服务账户,Docker 建议您将服务账户替换为 OAT。与服务账户相比,OAT 具有以下优势:

  • 使用 OAT 可以更轻松地管理访问权限。您可以分配访问权限 对 OAT 的权限,而服务账户需要使用 Teams 进行访问 权限。
  • OAT 更容易管理。OAT 在 Admin Console 中集中管理。 对于服务帐户,您可能需要登录该服务帐户以 管理它。如果使用单点登录强制,并且服务帐户不是 中,您可能无法登录服务账户进行管理 它。
  • OAT 不与单个用户关联。如果有权访问 服务账户将离开您的组织,您可能会失去对服务的访问权限 帐户。OAT 可以由任何组织所有者管理。

创建组织访问令牌

重要

将访问令牌视为密码,并对其进行保密。例如,将您的令牌安全地存储在凭证管理器中。

组织所有者最多可以创建 10 个组织访问令牌 (OAT) 拥有团队订阅和最多 100 个 OAT 的组织(对于拥有 企业订阅。过期的代币计入 令 牌。

要创建 OAT,请执行以下操作:

  1. 登录到 Admin Console

  2. 选择要为其创建访问令牌的组织。

  3. Security and access (安全和访问) 下,选择 Access tokens (访问令牌)。

  4. 选择 Generate access token (生成访问令牌)。

  5. 为您的令牌添加标签和可选描述。使用指示令牌的用例或用途的内容。

  6. 选择令牌的到期日期。

  7. 选择令牌的存储库访问权限。

    访问权限是在存储库中设置限制的范围。 例如,对于读取和写入权限,自动化管道可以构建 镜像,然后将其推送到存储库。但是,它无法删除 存储 库。您可以选择以下选项之一:

    • 公共仓库(只读)
    • 所有存储库:您可以选择读取访问权限或读写访问权限。
    • 选择仓库:您最多可以选择 50 个仓库,然后 为每个存储库选择 Read access (读取访问权限) 或 Read and write access (读取和写入访问权限)。
  8. 选择 Generate token (生成令牌),然后复制屏幕上显示的令牌 并保存它。退出 屏幕。

使用组织访问令牌

当您使用 Docker CLI 登录时,可以使用组织访问令牌。

使用以下命令从 Docker CLI 客户端登录,替换为您的组织名称:YOUR_ORG

$ docker login --username <YOUR_ORG>

当系统提示输入密码时,请输入您的组织访问令牌,而不是 密码。

修改现有令牌

您可以重命名、更新描述、更新存储库访问权限、 deactivate 或删除令牌。

  1. 登录到 Admin Console

  2. 选择要为其修改访问令牌的组织。

  3. Security and access (安全和访问) 下,选择 Access tokens (访问令牌)。

  4. 选择令牌行最右侧的操作菜单,然后选择 DeactivateEditDelete 以修改令牌。对于 Inactive tokens (非活动令牌),您只能选择 Delete (删除)。

  5. 如果编辑令牌,请在指定修改后选择 Save (保存)。