You need to enable JavaScript to run this app.
导航
授权 IAM 用户
最近更新时间:2023.04.26 10:22:29首次发布时间:2022.03.31 23:31:56

镜像仓库 CR 支持通过授权 IAM(Identity and Access Management)用户,实现多用户协同操作镜像仓库资源的需求。本文主要介绍授权 IAM 用户使用标准版实例的步骤。

背景信息

策略是访问控制 IAM 描述能力的一种方式。IAM 支持以下两种权限策略:

  • 系统预设策略:统一由火山引擎创建,您只能使用不能修改,策略的版本更新由火山引擎维护。
  • 用户自定义策略:您可以自主创建、更新和删除策略,策略的版本更新由您自己维护。

本文主要介绍通过系统预设策略,快速授权 IAM 用户使用镜像仓库标准版实例的步骤。自定义策略相关操作,请参见 标准版实例自定义策略

前提条件

操作步骤

  1. 登录 访问控制控制台
  2. 创建 IAM 用户并为用户授权如下策略。创建和授权策略的方法参见 创建用户并授权 。更多策略相关介绍和配置参见 策略管理
策略描述

CRFullAccess

该策略为镜像仓库的全读写访问权限。 策略详情如下所示:

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cr:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

CRReadOnlyAccess

该策略为镜像仓库的只读访问权限。 策略详情如下所示:

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cr:List*",
        "cr:Get*",
        "cr:Pull*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
  1. 为用户授权 ServiceRoleForCR 角色,允许镜像仓库账号访问对象存储产品。授权方法参见 角色管理,角色详情如下。

注意

授权后角色将出现在访问控制的 角色列表 中,删除角色将导致跨服务访问不可用,请谨慎操作。

角色描述

ServiceRoleForCR

镜像仓库访问对象存储的策略。

  • 关联策略:ServiceRolePolicyForCR
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeSubnets",
        "vpc:DescribeSecurityGroups",
        "vpc:CreateNetworkInterface",
        "vpc:DeleteNetworkInterface",
        "vpc:DescribeNetworkInterfaces",
        "vpc:CreateNetworkInterfacePermission",
        "vpc:DeleteNetworkInterfacePermission",
        "vpc:DescribeNetworkInterfacePermissions"
        "dns:ListZones"
        "dns:ListRecords"
        "dns:CreateRecord"
        "dns:DeleteRecord"
        "dns:UpdateRecord"
        "certificate_service:CertificateGetInstance"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
  • 信任关系:CR
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sts:AssumeRole"
      ],
      "Principal": {
        "Service": [
          "cr"
        ]
      }
    }
  ]
}