镜像仓库 CR 支持通过授权 IAM(Identity and Access Management)用户,实现多用户协同操作镜像仓库资源的需求。本文主要介绍授权 IAM 用户使用标准版实例的步骤。
背景信息
策略是访问控制 IAM 描述能力的一种方式。IAM 支持以下两种权限策略:
- 系统预设策略:统一由火山引擎创建,您只能使用不能修改,策略的版本更新由火山引擎维护。
- 用户自定义策略:您可以自主创建、更新和删除策略,策略的版本更新由您自己维护。
本文主要介绍通过系统预设策略,快速授权 IAM 用户使用镜像仓库标准版实例的步骤。自定义策略相关操作,请参见 标准版实例自定义策略。
前提条件
操作步骤
- 登录 访问控制控制台。
- 创建 IAM 用户并为用户授权如下策略。创建和授权策略的方法参见 创建用户并授权 。更多策略相关介绍和配置参见 策略管理。
策略 | 描述 |
---|
CRFullAccess | 该策略为镜像仓库的全读写访问权限。 策略详情如下所示: {
"Statement": [
{
"Effect": "Allow",
"Action": [
"cr:*"
],
"Resource": [
"*"
]
}
]
}
|
CRReadOnlyAccess | 该策略为镜像仓库的只读访问权限。 策略详情如下所示: {
"Statement": [
{
"Effect": "Allow",
"Action": [
"cr:List*",
"cr:Get*",
"cr:Pull*"
],
"Resource": [
"*"
]
}
]
}
|
- 为用户授权 ServiceRoleForCR 角色,允许镜像仓库账号访问对象存储产品。授权方法参见 角色管理,角色详情如下。
注意
授权后角色将出现在访问控制的 角色列表 中,删除角色将导致跨服务访问不可用,请谨慎操作。
角色 | 描述 |
---|
ServiceRoleForCR | 镜像仓库访问对象存储的策略。 - 关联策略:ServiceRolePolicyForCR
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeSubnets",
"vpc:DescribeSecurityGroups",
"vpc:CreateNetworkInterface",
"vpc:DeleteNetworkInterface",
"vpc:DescribeNetworkInterfaces",
"vpc:CreateNetworkInterfacePermission",
"vpc:DeleteNetworkInterfacePermission",
"vpc:DescribeNetworkInterfacePermissions"
"dns:ListZones"
"dns:ListRecords"
"dns:CreateRecord"
"dns:DeleteRecord"
"dns:UpdateRecord"
"certificate_service:CertificateGetInstance"
],
"Resource": [
"*"
]
}
]
}
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Principal": {
"Service": [
"cr"
]
}
}
]
}
|
|