本文主要描述为 IAM 用户授权操作镜像仓库 CR 的资源和鉴权策略。 ## 资源描述通过 IAM 进行授权时，资源描述方式如下表所示： |资源类型 |授权策略中的资源描述 | |---|---| |repository |trn:cr:$regionid:$accountid:repository/$instancename/$namespacename/$reponame | 参数说明如下表所示： |参数名称 |说明 | |---|---| |$regionid |地域 ID，可用`*`匹配所有地域（Region）。 | |$accountid |火山引擎账号 ID，可用`*`代替。 | |$instancename |镜像仓库实例名称。 | |$namespacename |命名空间名称。 | |$reponame |OCI 制品仓库名称。 | ## 鉴权规则 IAM 用户访问镜像仓库服务 API 时，镜像仓库服务会向 IAM 进行权限检查。每个 API 会根据涉及到的资源以及 API 的语义来确定需要检查哪些资源的权限。每个 API 的鉴权规则如下表所示： :::tip * 支持通过 [自定义策略可视化编辑器](https://console.volcengine.com/iam/policymanage/policy/new) 创建自定义策略。 * 当前仅 **推送镜像（PushRepository）** 和 **拉取镜像（PullRepository）** 权限不支持通过可视化界面添加权限，请参考下文通过 API 添加。 ::: |API |鉴权 Action |鉴权 Resource | |---|---|---| |创建镜像仓库实例 |cr:CreateRegistry |trn:cr:\*:\*:instance/\* | |删除镜像仓库实例 |cr:DeleteRegistry |trn:cr:\*:\*:instance/$instance | |启动镜像仓库实例 |cr:StartRegistry |trn:cr:\*:\*:instance/$instance | |查询镜像仓库实例 |cr:ListRegistries |\* | |更新镜像仓库公网入口 |cr:UpdatePublicEndpoint |trn:cr:\*:\*:instance/$instance | |获取镜像仓库公网入口信息 |cr:GetPublicEndpoint |trn:cr:\*:\*:instance/$instance | |查询镜像仓库域名 |cr:ListDomains |trn:cr:\*:\*:instance/$instance | |创建命名空间 |cr:CreateNamespace |trn:cr:\*:\*:repository/\* | |删除命名空间 |cr:DeleteNamespace |trn:cr:\*:\*:repository/$instance/$namespace | |查询命名空间 |cr:ListNamespaces |\* | |创建 OCI 制品仓库 |cr:CreateRepository |trn:cr:\*:\*:repository/\* | |更新 OCI 制品仓库 |cr:UpdateRepository |trn:cr:\*:\*:repository/$instance/$namespace/$repository | |删除 OCI 制品仓库 |cr:DeleteRepository |trn:cr:\*:\*:repository/$instance/$namespace/$repository | |查询 OCI 制品仓库 |cr:ListRepositories |\* | |查询 OCI 制品版本 |cr:ListTags |trn:cr:\*:\*:repository/$instance/$namespace/$repository | |更新镜像仓库用户信息 |cr:SetUser |trn:cr:\*:\*:instance/$instance | |获取镜像仓库用户信息 |cr:GetUser |trn:cr:\*:\*:instance/$instance | |获取登录镜像仓库的临时访问密钥 |cr:GetAuthorizationToken |trn:cr:\*:\*:instance/$instance | ## 鉴权示例以下为镜像仓库的各场景中鉴权规则的用法。 ### 场景一：推送镜像授予 IAM 用户某个实例下命名空间（例如：实例 instance\-a，命名空间 library）的推送镜像的权限。IAM 用户登录镜像仓库后可以推送该命名空间下所有镜像实例，可以通过 OpenAPI 查到该命名空间的信息以及该命名空间下所有镜像实例的相关信息。 ```Plain Text { "Statement": [ { "Effect": "Allow", "Action": [ "cr:List*", "cr:Get*", "cr:Pull*", "cr:Push*" ], "Resource": [ "trn:cr:*:*:instance/instance-a", "trn:cr:*:*:repository/instance-a/library", "trn:cr:*:*:repository/instance-a/library/*" ] } ] } ``` ### 场景二：拉取镜像授予 IAM 用户某个实例下命名空间（例如：实例 instance\-a，命名空间 library）的读权限。IAM 用户登录镜像仓库后可以拉取该命名空间下所有镜像实例，可以通过 OpenAPI 查到该命名空间的信息以及该命名空间下所有镜像实例的相关信息。 ```Plain Text { "Statement": [ { "Effect": "Allow", "Action": [ "cr:List*", "cr:Get*", "cr:Pull*" ], "Resource": [ "trn:cr:*:*:instance/instance-a", "trn:cr:*:*:repository/instance-a/library", "trn:cr:*:*:repository/instance-a/library/*" ] } ] } ```