组织访问令牌
试用版
组织访问令牌功能目前处于 Beta 阶段。
警告
组织访问令牌目前与以下服务不兼容:
- Docker 构建云
- Docker 侦查兵
- Docker REST API
如果您使用这些服务,则必须改用 personal access tokens。
组织访问令牌 (OAT) 类似于个人访问令牌 (PAT) 的 BAT,但 OAT 与 一个组织,而不是单个用户帐户。使用 OAT 而不是 PAT 来 允许业务关键型任务访问 Docker Hub 存储库,而无需连接 令牌分配给单个用户。您必须拥有 Docker 团队或业务 订阅以使用 OAT。
OAT 具有以下优势:
- 您可以调查 OAT 的上次使用时间,然后禁用或删除它 如果您发现任何可疑活动。
- 您可以限制每个 OAT 有权访问的内容,从而限制 OAT 在 被入侵。
- 所有组织所有者都可以管理 OAT。如果一个所有者离开组织, 其余所有者仍然可以管理 OAT。
- OAT 有自己的 Docker Hub 使用限制,这些限制不计入您的 个人帐户的限制。
如果您已经有服务账户,Docker 建议您将服务账户替换为 OAT。与服务账户相比,OAT 具有以下优势:
- 使用 OAT 可以更轻松地管理访问权限。您可以分配访问权限 对 OAT 的权限,而服务账户需要使用 Teams 进行访问 权限。
- OAT 更容易管理。OAT 在 Admin Console 中集中管理。 对于服务帐户,您可能需要登录该服务帐户以 管理它。如果使用单点登录强制,并且服务帐户不是 中,您可能无法登录服务账户进行管理 它。
- OAT 不与单个用户关联。如果有权访问 服务账户将离开您的组织,您可能会失去对服务的访问权限 帐户。OAT 可以由任何组织所有者管理。
创建组织访问令牌
重要
将访问令牌视为密码,并对其进行保密。例如,将您的令牌安全地存储在凭证管理器中。
组织所有者最多可以创建 10 个组织访问令牌 (OAT) 拥有团队订阅和最多 100 个 OAT 的组织(对于拥有 企业订阅。过期的代币计入 令 牌。
要创建 OAT,请执行以下操作:
登录到 Admin Console。
选择要为其创建访问令牌的组织。
在 Security and access (安全和访问) 下,选择 Access tokens (访问令牌)。
选择 Generate access token (生成访问令牌)。
为您的令牌添加标签和可选描述。使用指示令牌的用例或用途的内容。
选择令牌的到期日期。
选择令牌的存储库访问权限。
访问权限是在存储库中设置限制的范围。 例如,对于读取和写入权限,自动化管道可以构建 镜像,然后将其推送到存储库。但是,它无法删除 存储 库。您可以选择以下选项之一:
- 公共仓库(只读)
- 所有存储库:您可以选择读取访问权限或读写访问权限。
- 选择仓库:您最多可以选择 50 个仓库,然后 为每个存储库选择 Read access (读取访问权限) 或 Read and write access (读取和写入访问权限)。
选择 Generate token (生成令牌),然后复制屏幕上显示的令牌 并保存它。退出 屏幕。
使用组织访问令牌
当您使用 Docker CLI 登录时,可以使用组织访问令牌。
使用以下命令从 Docker CLI 客户端登录,替换为您的组织名称:YOUR_ORG
$ docker login --username <YOUR_ORG>
当系统提示输入密码时,请输入您的组织访问令牌,而不是 密码。
修改现有令牌
您可以重命名、更新描述、更新存储库访问权限、 deactivate 或删除令牌。
登录到 Admin Console。
选择要为其修改访问令牌的组织。
在 Security and access (安全和访问) 下,选择 Access tokens (访问令牌)。
选择令牌行最右侧的操作菜单,然后选择 Deactivate、Edit 或 Delete 以修改令牌。对于 Inactive tokens (非活动令牌),您只能选择 Delete (删除)。
如果编辑令牌,请在指定修改后选择 Save (保存)。