You need to enable JavaScript to run this app.
导航
鉴权
最近更新时间:2024.04.10 10:12:38首次发布时间:2024.04.08 10:16:11

本文主要描述为 IAM 用户授权操作镜像仓库 CR 的资源和鉴权策略。

资源描述

通过 IAM 进行授权时,资源描述方式如下表所示:

资源类型授权策略中的资源描述
repositorytrn:cr:$regionid:$accountid:repository/$instancename/$namespacename/$reponame

参数说明如下表所示:

参数名称说明
$regionid地域 ID,可用*匹配所有地域(Region)。
$accountid火山引擎账号 ID,可用*代替。
$instancename镜像仓库实例名称。
$namespacename命名空间名称。
$reponameOCI 制品仓库名称。

鉴权规则

IAM 用户访问镜像仓库服务 API 时,镜像仓库服务会向 IAM 进行权限检查。每个 API 会根据涉及到的资源以及 API 的语义来确定需要检查哪些资源的权限。每个 API 的鉴权规则如下表所示:

API鉴权 Action鉴权 Resource
创建镜像仓库实例cr:CreateRegistrytrn:cr:*:*:instance/$instance
删除镜像仓库实例cr:DeleteRegistrytrn:cr:*:*:instance/$instance
启动镜像仓库实例cr:StartRegistrytrn:cr:*:*:instance/$instance
查询镜像仓库实例cr:ListRegistries*
更新镜像仓库公网入口cr:UpdatePublicEndpointtrn:cr:*:*:instance/$instance
获取镜像仓库公网入口信息cr:GetPublicEndpointtrn:cr:*:*:instance/$instance
查询镜像仓库域名cr:ListDomainstrn:cr:*:*:instance/$instance
创建命名空间cr:CreateNamespacetrn:cr:*:*:repository/$instance/$namespace
删除命名空间cr:DeleteNamespacetrn:cr:*:*:repository/$instance/$namespace
查询命名空间cr:ListNamespaces*
创建 OCI 制品仓库cr:CreateRepositorytrn:cr:*:*:repository/$instance/$namespace/$repository
更新 OCI 制品仓库cr:UpdateRepositorytrn:cr:*:*:repository/$instance/$namespace/$repository
删除 OCI 制品仓库cr:DeleteRepositorytrn:cr:*:*:repository/$instance/$namespace/$repository
查询 OCI 制品仓库cr:ListRepositories*
查询 OCI 制品版本cr:ListTagstrn:cr:*:*:repository/$instance/$namespace/$repository
更新镜像仓库用户信息cr:SetUsertrn:cr:*:*:instance/$instance
获取镜像仓库用户信息cr:GetUsertrn:cr:*:*:instance/$instance
获取登录镜像仓库的临时访问密钥cr:GetAuthorizationTokentrn:cr:*:*:instance/$instance