身份认证与访问控制

身份认证

无论通过管理控制台或API接口访问CodeArts Repo，CodeArts Repo使用统一身份认证服务IAM进行认证鉴权。

CodeArts Repo支持两种认证方式：

• Token认证：通过Token认证调用请求。
• AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。推荐使用AK/SK认证，其安全性比Token认证要高。

关于认证鉴权的详细介绍及获取方式，请参见认证鉴权。

访问控制

1. IAM权限管理

   权限管理是基于角色与权限的细粒度授权，即根据不同角色的工作需要分配不同的操作权限，用户只可访问被授权资源。

   CodeArts Repo中的角色有仓库管理员/创建者，Committer，开发者，浏览者。

   • 仓库管理员/创建者/Committer支持对仓库成员进行管理，更新仓库代码并对仓库配置进行设置等操作；
   • 开发者支持更新仓库代码和浏览仓库成员列表；
   • 浏览者支持浏览、评论仓库。
2. IP白名单控制
   • IP白名单是对IP范围开设的白名单，通过设置IP白名单能极大增强您的仓库的安全性。
   • 只有在IP白名单范围内的IP才可以访问仓库。除此之外其他IP发起的访问将被拒绝。
   • IP白名单包括租户级IP白名单和仓库级IP白名单，并可配置优先级。

   关于IP白名单的详细配置方法，请参见配置IP白名单。

3. 锁定仓库

   为防止任何人破坏即将发布版本的代码仓库，管理员可以锁定仓库，在锁定仓库后，任何人都无法向任何分支提交代码（包括管理员本人）。

   关于锁定仓库的详细操作方法，请参见锁定仓库。

4. 保护分支管理

   分支保护，可防止分支被其他人提交或误删。

   • 保证分支的安全性，允许开发人员使用合并请求合入代码。
   • 阻止管理者以外的人推送代码。
   • 阻止任何人强行推送到此分支。
   • 阻止任何人删除此分支。

   关于保护分支的详细配置方法，请参见配置保护分支。

5. 运维SOD

   为规范开发、测试、发布上线全流程运维脚本（包含脚本开发、代码检视、手动测试、集成验收、发布审核、脚本上线、版本管理等），推行和加强标准化作业的管理，保证流程合规、安全合规、质量合规。

6. 防护墙和VPC隔离

   CodeArts Repo通过防护墙和VPC隔离支持租户间网络和资源隔离。