组织访问令牌

警告

组织访问令牌 (OAT) 不打算与 Docker Desktop 或 Docker Scout 一起使用，并且不兼容。

如果您使用 Docker Desktop 或 Docker Scout，则必须使用个人访问令牌。

组织访问令牌 (OAT) 类似于个人访问令牌 (PAT)，但 OAT 与组织而不是单个用户账户相关联。使用 OAT 而非 PAT 可以让关键业务任务访问 Docker Hub 仓库，而无需将令牌绑定到单个用户。您必须拥有 Docker Team 或 Business 订阅才能使用 OAT。

OAT 提供以下优势

• 您可以调查 OAT 的最后使用时间，并在发现任何可疑活动时将其禁用或删除。
• 您可以限制每个 OAT 的访问范围，从而限制 OAT 被泄露时的影响。
• 所有公司或组织所有者都可以管理 OAT。如果某位所有者离开组织，其余所有者仍可以管理 OAT。
• OAT 拥有自己的 Docker Hub 使用限制，不计入您的个人账户限制。

如果您有现有的服务账户，Docker 建议您将服务账户替换为 OAT。OAT 相较于服务账户具有以下优势

• 使用 OAT 更容易管理访问权限。您可以将访问权限直接分配给 OAT，而服务账户需要使用团队来管理访问权限。
• OAT 更易于管理。OAT 在管理员控制台中进行集中管理。对于服务账户，您可能需要登录该服务账户才能进行管理。如果您使用单点登录强制执行，且服务账户不在您的 IdP 中，您可能无法登录该服务账户进行管理。
• OAT 不与单个用户关联。如果拥有服务账户访问权限的用户离开您的组织，您可能会失去对该服务账户的访问权限。OAT 可以由任何公司或组织所有者管理。

创建组织访问令牌

重要提示

将访问令牌视为密码并妥善保管。例如，将您的令牌安全地存储在凭据管理器中。

公司或组织所有者最多可以创建

• 拥有 Team 订阅的组织最多可创建 10 个 OAT
• 拥有 Business 订阅的组织最多可创建 100 个 OAT

已过期令牌会计入令牌总数。

创建 OAT 的步骤

1. 登录管理员控制台。

2. 选择您要为其创建访问令牌的组织。

3. 在 安全和访问 下，选择 访问令牌。

4. 选择 生成访问令牌。

5. 为您的令牌添加一个标签和可选描述。使用能指示令牌用例或用途的内容。

6. 选择令牌的过期日期。

7. 展开 仓库 下拉菜单，为您的令牌设置访问权限范围。设置仓库访问权限范围的步骤

   1. 可选。选择 读取公共仓库。
   2. 选择 添加仓库 并从下拉菜单中选择一个仓库。
   3. 设置您仓库的权限范围 — 镜像推送 或 镜像拉取。
   4. 根据需要添加更多仓库。最多可以添加 50 个仓库。

8. 可选。展开 组织 下拉菜单，选中 允许管理对此组织资源的访问 复选框。此设置会为您的令牌启用组织管理权限范围。以下组织管理权限范围可用

   • 成员编辑：编辑组织成员
   • 成员读取：读取组织成员
   • 邀请编辑：邀请成员加入组织
   • 邀请读取：读取组织邀请
   • 群组编辑：编辑组织群组
   • 群组读取：读取组织群组

9. 选择 生成令牌。复制屏幕上显示的令牌并保存。退出此屏幕后，您将无法再检索该令牌。

使用组织访问令牌

使用 Docker CLI 登录时，您可以使用组织访问令牌。

使用以下命令从您的 Docker CLI 客户端登录，将 YOUR_ORG 替换为您的组织名称

$ docker login --username YOUR_ORG

当提示输入密码时，输入您的组织访问令牌而不是密码。

修改现有令牌

您可以根据需要重命名、更新描述、更新仓库访问权限、停用或删除令牌。

1. 登录管理员控制台。

2. 选择您要修改访问令牌的组织。

3. 在 安全和访问 下，选择 访问令牌。

4. 在令牌行中选择操作菜单，然后选择 停用、编辑 或 删除 来修改令牌。对于 已停用 的令牌，您只能选择 删除。

5. 如果正在编辑令牌，请在指定修改后选择 保存。