组织访问令牌

目录

测试版

组织访问令牌功能目前处于测试版

警告

组织访问令牌目前与以下服务不兼容:

  • Docker Build Cloud
  • Docker Scout
  • Docker REST API

如果您使用这些服务,则必须改用个人访问令牌。

组织访问令牌 (OAT) 类似于个人访问令牌 (PAT),但 OAT 与组织相关联,而不是单个用户帐户。使用 OAT 而不是 PAT 可以让关键业务任务访问 Docker Hub 仓库,而无需将令牌连接到单个用户。您必须拥有Docker Team 或 Business 订阅才能使用 OAT。

OAT 提供以下优势:

  • 您可以调查上次使用 OAT 的时间,然后在发现任何可疑活动时将其禁用或删除。
  • 您可以限制每个 OAT 的访问权限,从而限制 OAT 受损的影响。
  • 所有组织所有者都可以管理 OAT。如果一个所有者离开组织,其余所有者仍然可以管理 OAT。
  • OAT 有其自己的 Docker Hub 使用限制,这不会计入您个人帐户的限制。

如果您有现有的服务帐户,Docker 建议您将服务帐户替换为 OAT。与服务帐户相比,OAT 提供以下优势:

  • 使用 OAT 更易于管理访问权限。您可以为 OAT 分配访问权限,而服务帐户需要使用团队来分配访问权限。
  • OAT 更易于管理。OAT 在管理控制台中集中管理。对于服务帐户,您可能需要登录该服务帐户才能管理它。如果使用单点登录强制执行并且服务帐户不在您的 IdP 中,您可能无法登录服务帐户来管理它。
  • OAT 与单个用户无关。如果拥有服务帐户访问权限的用户离开您的组织,您可能会失去对服务帐户的访问权限。任何组织所有者都可以管理 OAT。

创建组织访问令牌

重要

请像对待密码一样对待访问令牌,并将其保密。例如,将您的令牌安全地存储在凭据管理器中。

组织所有者可以为拥有团队订阅的组织创建最多 10 个组织访问令牌 (OAT),为拥有商业订阅的组织创建最多 100 个 OAT。已过期的令牌计入令牌总数。

创建 OAT 的步骤

  1. 登录 管理控制台

  2. 选择您要为其创建访问令牌的组织。

  3. 安全和访问下,选择访问令牌

  4. 选择生成访问令牌

  5. 为您的令牌添加标签和可选说明。使用一些表明令牌用例或用途的内容。

  6. 选择令牌的过期日期。

  7. 选择令牌的仓库访问权限。

    访问权限是设置仓库限制的范围。例如,对于读写权限,自动化管道可以构建镜像,然后将其推送到仓库。但是,它无法删除仓库。您可以选择以下选项之一:

    • 公共仓库(只读)
    • 所有仓库:您可以选择只读访问权限或读写访问权限。
    • 选择仓库:您可以选择最多 50 个仓库,然后为每个仓库选择只读访问权限或读写访问权限。

  8. 选择生成令牌,然后复制屏幕上显示的令牌并保存它。一旦您退出屏幕,就无法检索该令牌。

使用组织访问令牌

使用 Docker CLI 登录时,可以使用组织访问令牌。

使用以下命令从您的 Docker CLI 客户端登录,将YOUR_ORG替换为您的组织名称:

$ docker login --username <YOUR_ORG>

系统提示输入密码时,输入您的组织访问令牌代替密码。

修改现有令牌

您可以根据需要重命名、更新说明、更新仓库访问权限、停用或删除令牌。

  1. 登录 管理控制台

  2. 选择您要修改访问令牌的组织。

  3. 安全和访问下,选择访问令牌

  4. 选择令牌行最右侧的操作菜单,然后选择停用编辑删除来修改令牌。对于无效令牌,您只能选择删除

  5. 如果要编辑令牌,请在指定修改内容后选择保存