操作场景
推送拉取容器镜像需要首先使用凭证信息登录至实例,即在 Docker 客户端中执行 docker login
命令并输入用户名及密码,该用户名及密码仅用于该实例的登录及认证鉴权,不可用于其他场景。本文档介绍如何在企业版实例中管理与腾讯云账号关联的用户级账号。
当用户购买企业版实例后,若希望交由多个子账号同时管理使用,如推送/拉取镜像,可先由账号管理员配置各子账号权限(请参见 企业版授权方案示例),子账号登录产品控制台后,可生成用户级账号,即与自己身份关联的 Docker Registry 访问凭证(访问凭证的用户名与腾讯云子账号 ID 相同),并用于执行仓库登录,镜像推送、拉取。使用与子账号关联的用户级账号操作镜像时,读写行为将被记录,并可追溯至账号持有人,可用于内部审计。 在创建用户级账号时,可选创建临时访问凭证,或生成长期访问凭证。建议日常临时推送/拉取镜像时使用临时访问凭证,避免凭证泄漏造成数据安全风险。
长期访问凭证:生成后永久有效,支持禁用及删除。长期访问凭证可应用在前期测试、CICD 流水线及容器集群拉取镜像等场景中。
注意:
长期访问凭证生成后请妥善保管,如果遗失请及时禁用或删除。
临时登录指令:1小时内有效,生成后无法禁用及吊销。临时登录指令可应用在临时使用,对外单次授权等场景中,对安全性要求较高的生产集群也可通过定时刷新的方式进行使用。
前提条件
在获取 TCR 企业版实例访问凭证前,您需要完成以下准备工作:
如需通过 API 获取访问凭证,需获取 API 3.0 调用所需的 API 密钥。 操作步骤
获取长期访问凭证
1. 登录 容器镜像服务 控制台,选择左侧导航栏中的访问凭证,并选择用户级账号。 2. 在用户级账号页面中选择地域及实例名称,并单击新建。
3. 在新建访问凭证页面中,按照以下步骤进行获取:
3.1 在新建访问凭证步骤中,输入凭证用途描述并单击下一步。
3.2 在保存访问凭证步骤中,单击保存访问凭证下载凭证信息。请妥善保管访问凭证,仅一次保存机会。 4. 创建完成后即可在访问凭证页签中查看,您还可进行访问凭证的禁用及删除操作。
获取临时登录指令
1. 登录 容器镜像服务 控制台,选择左侧导航栏中的访问凭证,并选择用户级账号。 2. 在用户级账号页面中选择地域及实例名称,并单击生成临时登录指令。
3. 在临时登录指令页面中,单击复制登录指令即可获取临时访问凭证。 使用 API 创建
您还可以使用 CreateInstanceToken 接口创建实例访问凭证,详细信息请参见 创建实例访问凭证。 后续操作
注意事项
使用部分功能时,将自动创建长期访问凭证,包含以下场景:
1. 在容器服务 TKE 集群中安装 TCR 插件,将会自动创建所选实例的长期访问凭证。该凭证暂不会随着插件删除而自动销毁,如不在需要使用,请手动删除自动创建的访问凭证。
2. 使用镜像构建,交付流水线功能时,将自动专用的访问凭证,并提供给 CODING DevOps 服务,用于推送自动构建的镜像,请勿直接删除该访问凭证,将会导致已有镜像构建配置失效。
本页内容是否解决了您的问题?