镜像访问管理
目录
注意
镜像访问管理仅对 Docker Business 客户可用。
镜像访问管理让您可以控制开发人员可以从 Docker Hub 拉取的镜像类型,例如 Docker 官方镜像、Docker 认证发布者镜像或社区镜像。
例如,作为组织一员的开发者在构建新的容器化应用程序时,可能会无意中使用不受信任的社区镜像作为其应用程序的组件。此镜像可能带有恶意,并对公司构成安全风险。通过使用镜像访问管理,组织所有者可以确保开发者只能访问受信任的内容,例如 Docker 官方镜像、Docker 验证发布者镜像或组织自己的镜像,从而防止此类风险。
前提条件
您首先需要 强制登录以确保所有 Docker Desktop 开发者都通过您的组织进行身份验证。由于镜像访问管理需要 Docker Business 订阅,强制登录保证了只有经过身份验证的用户才能访问,并且该功能在所有用户中持续生效,即使在没有强制登录的情况下它可能仍然有效。
配置
- 登录到 Docker Hub。
- 选择 组织,您的组织,设置,然后选择 镜像访问。
- 启用镜像访问管理以设置您可以管理的以下几类镜像的权限:
- 组织镜像:默认情况下,来自您组织的镜像始终被允许。这些镜像可以是您组织内成员创建的公开或私有镜像。
- Docker 官方镜像:一组托管在 Hub 上的精选 Docker 仓库。它们提供操作系统仓库、Dockerfile 最佳实践、即插即用解决方案,并及时应用安全更新。
- Docker 认证发布者镜像:由 Docker 合作伙伴发布的镜像,这些合作伙伴是认证发布者计划的成员,有资格纳入开发者安全供应链。
- 社区镜像: 当启用镜像访问管理时,这些镜像默认被禁用,因为它们由各种用户贡献,可能存在安全风险。此类别包括 Docker 赞助的开源镜像。
注意
镜像访问管理默认处于关闭状态。但是,无论设置如何,您组织中的所有者都有权访问所有镜像。
- 选择 允许 来为您的镜像设置类别限制。 限制应用后,您的成员可以以只读格式查看组织权限页面。
验证限制
新的镜像访问管理策略在开发人员使用其组织凭证成功通过 Docker Desktop 身份验证后生效。如果开发人员尝试使用 Docker 拉取不允许的镜像类型,他们将收到一条错误消息。
- 登录到 管理控制台。
- 在左侧导航下拉菜单中选择您的组织,然后选择镜像访问。
- 启用镜像访问管理以设置您可以管理的以下几类镜像的权限:
- 组织镜像:默认情况下,来自您组织的镜像始终被允许。这些镜像可以是您组织内成员创建的公开或私有镜像。
- Docker 官方镜像:一组托管在 Hub 上的精选 Docker 仓库。它们提供操作系统仓库、Dockerfile 最佳实践、即插即用解决方案,并及时应用安全更新。
- Docker 认证发布者镜像:由 Docker 合作伙伴发布的镜像,这些合作伙伴是认证发布者计划的成员,有资格纳入开发者安全供应链。
- 社区镜像: 当启用镜像访问管理时,这些镜像默认被禁用,因为它们由各种用户贡献,可能存在安全风险。此类别包括 Docker 赞助的开源镜像。
注意
镜像访问管理默认处于关闭状态。但是,无论设置如何,您组织中的所有者都有权访问所有镜像。
- 选择 允许 来为您的镜像设置类别限制。 限制应用后,您的成员可以以只读格式查看组织权限页面。
验证限制
新的镜像访问管理策略在开发人员使用其组织凭证成功通过 Docker Desktop 身份验证后生效。如果开发人员尝试使用 Docker 拉取不允许的镜像类型,他们将收到一条错误消息。