镜像访问管理
目录
注意
镜像访问管理仅适用于 Docker Business 客户。
镜像访问管理使您可以控制开发人员可以从 Docker Hub 拉取哪些类型的镜像,例如 Docker 官方镜像、Docker 验证发布者镜像或社区镜像。
例如,作为组织成员的开发人员在构建新的容器化应用程序时,可能会意外地使用不受信任的社区镜像作为其应用程序的组件。此镜像可能是恶意的,并对公司构成安全风险。使用镜像访问管理,组织所有者可以确保开发人员只能访问受信任的内容,例如 Docker 官方镜像、Docker 验证发布者镜像或组织自己的镜像,从而防止此类风险。
先决条件
您首先需要 强制登录 以确保所有 Docker Desktop 开发人员都使用您的组织进行身份验证。由于镜像访问管理需要 Docker Business 订阅,因此强制登录可保证只有经过身份验证的用户才能访问,并且该功能在所有用户中始终生效,即使在没有强制登录的情况下它仍然可能有效。
配置
- 登录 Docker Hub。
- 选择**组织**、您的组织、**设置**,然后选择**镜像访问**。
- 启用镜像访问管理以设置您可以管理的以下类别镜像的权限
- **组织镜像**: 默认情况下始终允许来自您组织的镜像。这些镜像可以是您的组织成员创建的公开或私有镜像。
- **Docker 官方镜像**: 一组在 Hub 上托管的精选 Docker 仓库。它们提供操作系统仓库、Dockerfile 的最佳实践、即用型解决方案,并及时应用安全更新。
- **Docker 验证发布者镜像**: 由参与验证发布者计划并有资格包含在开发人员安全供应链中的 Docker 合作伙伴发布的镜像。
- 社区镜像:启用镜像访问管理后,这些镜像默认情况下会被禁用,因为它们是由各种用户贡献的,可能存在安全风险。此类别包括 Docker 赞助的开源镜像。
注意
镜像访问管理默认情况下处于关闭状态。但是,您组织中的所有者无论设置如何,都可以访问所有镜像。
- 选择允许来选择镜像的类别限制。应用限制后,您的成员可以以只读格式查看组织权限页面。
验证限制
新的镜像访问管理策略在开发者使用其组织凭据成功验证 Docker Desktop 后生效。如果开发者尝试使用 Docker 拉取被禁止的镜像类型,则会收到错误消息。
- 登录管理控制台。
- 在左侧导航下拉菜单中选择您的组织,然后选择镜像访问。
- 启用镜像访问管理以设置您可以管理的以下类别镜像的权限
- **组织镜像**: 默认情况下始终允许来自您组织的镜像。这些镜像可以是您的组织成员创建的公开或私有镜像。
- **Docker 官方镜像**: 一组在 Hub 上托管的精选 Docker 仓库。它们提供操作系统仓库、Dockerfile 的最佳实践、即用型解决方案,并及时应用安全更新。
- **Docker 验证发布者镜像**: 由参与验证发布者计划并有资格包含在开发人员安全供应链中的 Docker 合作伙伴发布的镜像。
- 社区镜像:启用镜像访问管理后,这些镜像默认情况下会被禁用,因为它们是由各种用户贡献的,可能存在安全风险。此类别包括 Docker 赞助的开源镜像。
注意
镜像访问管理默认情况下处于关闭状态。但是,您组织中的所有者无论设置如何,都可以访问所有镜像。
- 选择允许来选择镜像的类别限制。应用限制后,您的成员可以以只读格式查看组织权限页面。
验证限制
新的镜像访问管理策略在开发者使用其组织凭据成功验证 Docker Desktop 后生效。如果开发者尝试使用 Docker 拉取被禁止的镜像类型,则会收到错误消息。