镜像访问管理
注意
Image Access Management 仅适用于 Docker Business 客户。
Image Access Management 让您可以控制开发人员可以从 Docker Hub 中提取哪些类型的镜像,例如 Docker 官方镜像、Docker 验证发布者镜像或社区镜像。
例如,作为组织成员的开发人员在构建新的容器化应用程序时,可能会意外地使用不受信任的社区镜像作为其应用程序的组件。此镜像可能是恶意的,并对公司构成安全风险。使用镜像访问管理,组织所有者可以确保开发人员只能访问受信任的内容,如 Docker 官方镜像、Docker 验证发布者镜像或组织自己的镜像,从而防止此类风险。
先决条件
您首先需要强制登录,以确保所有 Docker Desktop 开发人员都向您的组织进行身份验证。由于 Image Access Management 需要 Docker Business 订阅,因此强制登录可保证只有经过身份验证的用户才能访问,并且该功能在所有用户中始终有效,即使它可能在没有强制登录的情况下仍然有效。
配置
- 登录到 Docker Hub。
- 选择 Organizations(组织)、您的组织、Settings(设置),然后选择 Image Access(镜像访问)。
- 启用镜像访问管理,为您可以管理的以下类别的镜像设置权限:
- 组织镜像:默认情况下,始终允许来自组织的镜像。这些镜像可以是公有镜像,也可以是私有镜像,由组织内的成员创建。
- Docker 官方镜像:托管在 Hub 上的一组精选的 Docker 存储库。它们提供操作系统存储库、Dockerfile 的最佳实践、嵌入式解决方案,并按时应用安全更新。
- Docker Verified Publisher 镜像:由 Docker 合作伙伴发布的镜像,这些镜像是 Verified Publisher 计划的一部分,有资格包含在开发人员安全供应链中。
- 社区镜像:启用镜像访问管理后,这些镜像默认处于禁用状态,因为这些镜像是由不同的用户提供的,并且可能会带来安全风险。此类别包括 Docker 赞助的开源镜像。
注意
默认情况下,Image Access Management 处于关闭状态。但是,无论设置如何,您组织中的所有者都可以访问所有镜像。
- 通过选择 Allowed (允许) 来选择镜像的类别限制。 应用限制后,您的成员可以以只读格式查看组织权限页面。
验证限制
新的镜像访问管理策略在开发人员使用其组织凭证成功向 Docker Desktop 进行身份验证后生效。如果开发人员尝试使用 Docker 提取不允许的镜像类型,则会收到一条错误消息。
抢先体验
Docker Admin Console 是一种早期访问产品。
它适用于所有公司所有者和组织所有者。您仍然可以在 Docker Hub 中管理组织,但 Admin Console 包括公司级别的管理和组织的增强功能。
- 登录到 Admin Console。
- 在左侧导航下拉菜单中选择您的组织,然后选择 Image access (镜像访问)。
- 启用镜像访问管理,为您可以管理的以下类别的镜像设置权限:
- 组织镜像:默认情况下,始终允许来自组织的镜像。这些镜像可以是公有镜像,也可以是私有镜像,由组织内的成员创建。
- Docker 官方镜像:托管在 Hub 上的一组精选的 Docker 存储库。它们提供操作系统存储库、Dockerfile 的最佳实践、嵌入式解决方案,并按时应用安全更新。
- Docker Verified Publisher 镜像:由 Docker 合作伙伴发布的镜像,这些镜像是 Verified Publisher 计划的一部分,有资格包含在开发人员安全供应链中。
- 社区镜像:启用镜像访问管理后,这些镜像默认处于禁用状态,因为这些镜像是由不同的用户提供的,并且可能会带来安全风险。此类别包括 Docker 赞助的开源镜像。
注意
默认情况下,Image Access Management 处于关闭状态。但是,无论设置如何,您组织中的所有者都可以访问所有镜像。
- 通过选择 Allowed (允许) 来选择镜像的类别限制。 应用限制后,您的成员可以以只读格式查看组织权限页面。
验证限制
新的镜像访问管理策略在开发人员使用其组织凭证成功向 Docker Desktop 进行身份验证后生效。如果开发人员尝试使用 Docker 提取不允许的镜像类型,则会收到一条错误消息。