更新时间:2026-06-26 GMT+08:00
分享

镜像授权管理

操作场景

场景一:通过IAM授予基础权限

如果您需要对容器镜像服务进行权限管理,您可以使用统一身份认证服务IAM,设置权限的方法请参见配置IAM权限通过IAM授予使用SWR的权限

场景二:通过SWR控制台进行细粒度授权

当您具有SWR Admin或者Tenant Administrator系统权限时,您就拥有了SWR的管理员权限,可以在SWR中为其他IAM用户进行授权。如果您没有SWR的管理员权限,就需要已拥有SWR管理员权限的用户在SWR中进行授权管理,为您添加对某个镜像的权限或对某个组织中所有镜像的权限。

IAM授权与SWR控制台授权的关系

  • 权限叠加:IAM用户授权可以和SWR控制台镜像授权并存。
  • 优先级规则:IAM授权中Deny策略的优先级高于SWR控制台镜像授权。
  • 管理员权限:拥有SWR Admin或Tenant Administrator系统权限的用户,默认拥有所有组织下的镜像管理权限,即使该用户不在组织的授权用户列表中。

场景示例

  • 示例一:我是拥有ServiceStage Developer权限(SWR只读权限)的IAM用户,想要下载SWR管理员所创建的“group”组织下的“nginx”镜像。

    策略:SWR管理员在“nginx”镜像详情中为您授予“读取”权限,授权完成后,您将享有下载该镜像的权限。

  • 示例二:我是SWR管理员,需要给公司外部员工授权一个组织的镜像上传权限,但是不允许他通过SWR控制台上传,只能通过Docker客户端push镜像。

    策略:您在组织详情“用户”页签下为该员工授予“编辑”权限,并且在IAM中设置访问方式为“编程访问”

    图1 修改访问方式示例

约束与限制

联邦用户暂不支持在SWR的控制台进行镜像授权管理,请在IAM控制台添加自定义策略进行镜像授权管理。详情请参见SWR自定义策略

授权方法

容器镜像服务中给IAM用户添加权限有如下两种方法:

容器镜像服务中为用户添加的权限有如下三种类型:

  • 表1 权限说明

    权限类型

    下载镜像

    上传镜像

    编辑属性

    添加触发器

    删除镜像/版本

    添加授权

    共享镜像

    读取

    -

    -

    -

    -

    -

    -

    编辑

    -

    -

    -

    管理

页面上传镜像功能要求具备组织的编辑或管理权限,在镜像详情中添加的编辑或管理权限不支持页面上传镜像。

在镜像详情中操作授权

进入镜像详情页,您可在此管理授权,支持添加授权或修改/删除已有授权。

在镜像详情中为IAM用户添加授权,授权完成后,该账号下IAM用户享有读取/编辑/管理该镜像的权限。

  1. 登录SWR控制台SWR控制台
  2. 在左侧导航栏选择“我的镜像”,单击右侧待编辑镜像的名称。
  3. 在镜像详情页面选择“权限管理”页签。

  4. 单击“添加授权”,选择IAM用户名称,添加“读取/编辑/管理”的权限,添加后,该IAM用户享有对应权限。

您还可以在镜像详情中修改用户权限及删除用户权限。

  • 修改授权:在“权限管理”页签下用户所在行单击“编辑”,在“权限”所在列选择新的权限,然后单击“保存”

  • 删除授权:在“权限管理”页签下用户所在行单击“删除”,然后单击“确定”

在组织中操作授权

在组织中可对授权进行灵活管理,请根据需求,添加授权或修改/删除已有授权。

IAM用户创建后,需要管理员在组织中为用户添加授权,使IAM用户对组织内所有镜像享有读取/编辑/管理的权限。

只有具备“管理”权限的账号和IAM用户才能添加授权。

  1. 登录SWR控制台SWR控制台
  2. 在左侧菜单栏选择“组织管理”,单击右侧组织名称后的“详情”。
  3. “用户”页签下单击“添加授权”,在弹出的窗口中为IAM用户选择权限,然后单击“确定”

您还可以在组织中修改用户权限及删除用户权限。

  • 修改授权:在“用户”页签下用户所在行单击“编辑”,在“权限”所在列选择新的权限,然后单击“保存”

  • “用户”页签下用户所在行单击“删除”,然后单击“确定”

相关文档