镜像访问管理

注意

Image Access Management 仅适用于 Docker Business 客户。

Image Access Management 让您可以控制开发人员可以从 Docker Hub 中提取哪些类型的镜像,例如 Docker 官方镜像、Docker 验证发布者镜像或社区镜像。

例如,作为组织成员的开发人员在构建新的容器化应用程序时,可能会意外地使用不受信任的社区镜像作为其应用程序的组件。此镜像可能是恶意的,并对公司构成安全风险。使用镜像访问管理,组织所有者可以确保开发人员只能访问受信任的内容,如 Docker 官方镜像、Docker 验证发布者镜像或组织自己的镜像,从而防止此类风险。

先决条件

您首先需要强制登录,以确保所有 Docker Desktop 开发人员都向您的组织进行身份验证。由于 Image Access Management 需要 Docker Business 订阅,因此强制登录可保证只有经过身份验证的用户才能访问,并且该功能在所有用户中始终有效,即使它可能在没有强制登录的情况下仍然有效。

配置


  1. 登录到 Docker Hub
  2. 选择 Organizations(组织)、您的组织、Settings(设置),然后选择 Image Access(镜像访问)。
  3. 启用镜像访问管理,为您可以管理的以下类别的镜像设置权限:
  • 组织镜像:默认情况下,始终允许来自组织的镜像。这些镜像可以是公有镜像,也可以是私有镜像,由组织内的成员创建。
  • Docker 官方镜像:托管在 Hub 上的一组精选的 Docker 存储库。它们提供操作系统存储库、Dockerfile 的最佳实践、嵌入式解决方案,并按时应用安全更新。
  • Docker Verified Publisher 镜像:由 Docker 合作伙伴发布的镜像,这些镜像是 Verified Publisher 计划的一部分,有资格包含在开发人员安全供应链中。
  • 社区镜像:启用镜像访问管理后,这些镜像默认处于禁用状态,因为这些镜像是由不同的用户提供的,并且可能会带来安全风险。此类别包括 Docker 赞助的开源镜像。

注意

默认情况下,Image Access Management 处于关闭状态。但是,无论设置如何,您组织中的所有者都可以访问所有镜像。

  1. 通过选择 Allowed (允许) 来选择镜像的类别限制。 应用限制后,您的成员可以以只读格式查看组织权限页面。

验证限制

新的镜像访问管理策略在开发人员使用其组织凭证成功向 Docker Desktop 进行身份验证后生效。如果开发人员尝试使用 Docker 提取不允许的镜像类型,则会收到一条错误消息。

抢先体验

Docker Admin Console 是一种早期访问产品。

它适用于所有公司所有者和组织所有者。您仍然可以在 Docker Hub 中管理组织,但 Admin Console 包括公司级别的管理和组织的增强功能。

  1. 登录到 Admin Console
  2. 在左侧导航下拉菜单中选择您的组织,然后选择 Image access (镜像访问)。
  3. 启用镜像访问管理,为您可以管理的以下类别的镜像设置权限:
  • 组织镜像:默认情况下,始终允许来自组织的镜像。这些镜像可以是公有镜像,也可以是私有镜像,由组织内的成员创建。
  • Docker 官方镜像:托管在 Hub 上的一组精选的 Docker 存储库。它们提供操作系统存储库、Dockerfile 的最佳实践、嵌入式解决方案,并按时应用安全更新。
  • Docker Verified Publisher 镜像:由 Docker 合作伙伴发布的镜像,这些镜像是 Verified Publisher 计划的一部分,有资格包含在开发人员安全供应链中。
  • 社区镜像:启用镜像访问管理后,这些镜像默认处于禁用状态,因为这些镜像是由不同的用户提供的,并且可能会带来安全风险。此类别包括 Docker 赞助的开源镜像。

注意

默认情况下,Image Access Management 处于关闭状态。但是,无论设置如何,您组织中的所有者都可以访问所有镜像。

  1. 通过选择 Allowed (允许) 来选择镜像的类别限制。 应用限制后,您的成员可以以只读格式查看组织权限页面。

验证限制

新的镜像访问管理策略在开发人员使用其组织凭证成功向 Docker Desktop 进行身份验证后生效。如果开发人员尝试使用 Docker 提取不允许的镜像类型,则会收到一条错误消息。


更多资源