更新时间:2026-05-29 GMT+08:00
服务控制策略(SCP)
策略语法示例
配置示例1:禁止某账号下载某个企业注册表实例的某个命名空间下的镜像。
下面以禁止某账号下载企业注册表test-swr,命名空间为test-namespace下的镜像的场景为例演示如何配置。
配置方法:
- 以组织管理员或管理账号的身份登录组织控制台。
- 进入策略管理页,依次单击“服务控制策略-创建”,进入SCP创建页面。
- 输入策略名称和策略描述,在策略内容左侧可以复制粘贴如下JSON格式的策略内容。单击“保存”。
{ "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "swr:repository:downloadArtifact" ], "Resource": [ "swr:*:*:repository:test-swr/test-namespace", "swr:*:*:repository:test-swr/test-namespace/*" ] } ] } - 把此策略绑定至组织的OU或者账号上,使其生效。这样该账号就无法下载。具体方法如下:
- 以组织管理员或管理账号的身份登录组织控制台,进入组织管理页面。
- 选中要绑定SCP的OU或者账号。
- 在右侧详情页,选择策略页签,展开“服务控制策略”列表,单击列表上方的“绑定”。
- 在弹窗中选择要添加的策略后,在文本框中输入“确认”,然后单击“绑定”,完成策略绑定。
配置示例2: 限制创建SWR注册表时必须添加标签APPID=test-appid。
{
"Version": "5.0",
"Statement": [
{
"Effect": "Deny",
"Action": [
"swr:instance:create"
],
"Condition": {
"StringNotEquals": {
"g:RequestTag/APPID": [
"test-appid"
]
}
}
}
]
} 配置示例3: 限制用户仅可下载标签值为APPID=test-appid的镜像(需提前在镜像所属命名空间上添加对应标签)。
{
"Version": "5.0",
"Statement": [
{
"Effect": "Deny",
"Action": [
"swr:repository:downloadArtifact"
],
"Condition": {
"StringNotEquals": {
"g:ResourceTag/APPID": [
"test-appid"
]
}
}
}
]
} 父主题: SWR支持的控制策略
