文档中心

容器镜像服务CCR用户指南

最近更新时间：

4 管理维护

4.1 权限管理

说明

权限管理支持通过统一身份认证服务（Identity and Access Management，IAM）或组织管理进行配置。

IAM 权限管理仅在“组织管理”未开启状态下可用。“组织管理”功能开启后，资源标签和 IAM 权限管理功能将不再可用。若需使用组织管理功能进行权限管理，详细描述请参见《控制台快速入门》的“组织管理”章节。

4.1.1 IAM 权限

IAM 权限简介

统一身份认证服务（Identity and Access Management，IAM）提供用户身份认证、权限分配、访问控制等功能，通过创建多个 IAM 用户并授权不同资源权限策略，可实现不同 IAM 用户之间的权限隔离。

IAM 权限基于 IAM 用户授权云资源权限，定义了允许和拒绝的访问操作。默认情况下，新创建的 IAM用户不具备任何资源权限，需授权 IAM 用户，才能基于被授权的资源权限进行操作。授权 IAM 用户，需将其加入用户组，且该用户组已添加 IAM 权限策略。

IAM 权限策略是一组资源权限集，CCR 支持“系统策略”和“自定义策略”。

系统策略

系统策略统一由系统创建和维护，不支持自定义修改策略权限范围。CCR 支持的系统策略如下：

自定义策略

自定义策略是由系统开放资源授权项（Action），支持自主创建、更新和删除策略。目前支持“可视化”和“脚本”两种配置方式创建自定义策略：

· 可视化配置：按可视化导航栏选择策略效力、云服务、操作、资源、条件等权限策略内容，自动生成策略。

· 脚本配置：提供基本策略模板，可根据具体需求编辑策略内容，也可直接在编辑框内编写策略内容。

4.1.2 设置 IAM 权限

4.1.2.1 任务简介

IAM 权限基于 IAM 用户授权云资源权限，定义了允许和拒绝的访问操作。默认情况下，新创建的 IAM用户不具备任何资源权限，需授权 IAM 用户，才能基于被授权的资源权限进行操作。授权 IAM 用户，可选择直接给用户添加 IAM 权限策略；也可选择需将其加入用户组，且该用户组已添加 IAM权限策略。

本小节主要介绍如何设置 IAM 权限，授权 IAM 用户使用 CCR 资源。

4.1.2.2 限制与指导

给用户组授权之前，已了解用户需具备的 CCR 权限，并已掌握权限策略授权范围。

4.1.2.3 创建 IAM 用户

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 单击“创建用户”，跳转到 IAM 用户配置页面。

(4) 配置 IAM 用户账号信息和访问方式。

· 账号信息包括用户名、显示名、手机号、邮箱、备注等。

· 访问方式可选择控制台访问或编程访问。

· 一次最多可创建 10 个 IAM 用户，且同时创建的用户访问方式相同。

(5) 确认信息无误后，单击“确认”，弹出 IAM 用户创建成功窗口。

(6) 单击“确认”，确认下载用户密码至本地保存，且可查看新创建的用户列表。

4.1.2.4 授权单个 IAM 用户使用 CCR

(1) 在“身份认证与访问管理”管理页面。

(2) 单击“用户管理”页签，进入 IAM 用户列表页面。

(3) 在目标 IAM 用户的操作列，单击“添加权限”，弹出组权限配置窗口。

(4) 在左侧列框，勾选 CCR 权限策略并单击，为用户组添加权限。

· 您也可以将已配置的权限移除。

· 权限策略列框包含该账号下全量系统策略和自定义策略。

(5) 单击“确认”，返回 IAM 用户列表页面。

4.1.2.5 （可选）授权用户组使用 CCR

(1) 在“身份认证与访问管理”管理页面。

(2) 单击“用户组”页签，进入用户组管理页面。

(3) （可选）新建用户组。

a. 单击“创建用户组”，弹出用户组配置窗口。

b. 配置用户组名称，并可自定义描述信息。

c. 单击“确认”，返回用户组列表。

(4) 添加组成员。

a. 在目标用户组的操作列，单击“添加组成员”，弹出组成员配置窗口。

b. 在左侧列框，勾选一个或多个目标用户并单击，添加用户至用户组。

· 您也可以将已添加的用户从用户组移除。

· 用户列框包含该账号下已创建的全部 IAM 用户。

· 已被添加至其他用户组的用户置灰，不能被添加到新用户组。

c. 单击“确认”，返回用户组列表页面。

(5) 添加用户组权限。

a. 在目标用户组的操作列，单击“添加权限”，弹出组权限配置窗口。

b. 在左侧列框，勾选 CCR 权限策略并单击，为用户组添加权限。

· 您也可以将已配置的权限从用户组移除。

· 权限策略列框包含该账号下全量系统策略和自定义策略。

c. 单击“确认”，返回用户组列表页面。

4.1.2.6 IAM 用户登录并验证权限

(1) 使用 IAM 用户账号登录专属云控制台。

(2) 在服务列表中选择“容器镜像服务 CCR”，进入 CCR 管理页面。

(3) 对容器服务等资源执行相应操作，确认权限是否生效。

4.1.3 创建 IAM 自定义策略

4.1.3.1 任务简介

IAM 权限策略是一组资源权限集，CCR 支持“系统策略”和“自定义策略”。

如果预置的 CCR 系统策略不满足使用要求，可通过创建自定义策略，添加授权项（Action），对 CCR资源进行精细的权限管理。目前支持“可视化”和“脚本”两种配置方式创建自定义策略。

· 可视化配置：按可视化导航栏选择策略效力、云服务、操作、资源、条件等权限策略内容，自动生成策略。

· 脚本配置：提供基本策略模板，可根据具体需求编辑策略内容，也可直接在编辑框内编写策略内容。

本小节主要介绍如何在管理控制台创建自定义策略。

4.1.3.2 可视化配置自定义策略

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 单击“权限策略管理”页签，进入权限策略管理页面。

(4) 单击“创建自定义权限策略”，弹出权限策略配置窗口。

(5) 配置权限策略基本信息。

· 权限策略名称：自定义权限策略名称。

· 备注：自定义策略配置信息。

(6) 配置方式，选择“可视化配置”。

(7) 配置权限策略。

a. 配置权限策略效力，可选择“允许”或“拒绝”。

· 允许：表示该策略为允许操作效力。

· 拒绝：表示该策略为拒绝操作效力。

b. 配置云服务，选择“容器镜像服务 CCR”。

c. 配置云服务操作，根据需求勾选操作权限。

d. 配置资源，可选择“全部资源”或“特定资源”。

e. （可选）配置请求条件。

f. 单击“添加请求条件”，弹出请求条件配置窗口。根据参数说明，配置请求条件，并单击“确认”。

(8) 确认信息无误后，单击“确认”，返回权限策略列表页面，自定义策略即创建完成。

4.1.3.3 脚本配置自定义策略

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 单击“权限策略管理”页签，进入权限策略管理页面。

(4) 单击“创建自定义权限策略”，弹出权限策略配置窗口。

(5) 配置权限策略基本信息。

· 权限策略名称：自定义权限策略名称。

· 备注：自定义策略配置信息。

(6) 配置方式，选择“脚本配置”。

(7) 配置权限策略。

您可直接编辑脚本；也可复制已有策略权限，并在基础上做修改。

确认信息无误后，单击“确认”，返回权限策略列表页面，自定义策略即创建完成。

4.2 概览

(1) 在 CECSTACK 专属云控制台，单击页面左上角，选择“产品与服务 > 容器镜像服务 CCR”，进入容器镜像服务控制台页面。

(2) 选择左侧导航栏“概览”，进入概览页面。

(3) 概览页包括概览和我的资源两大块。

概览：

· 创建项目中“创建项目”会跳转到我的项目页。

· 镜像获取中“上传镜像”会弹出上传镜像窗口，具体操作参见上传镜像。

· 应用部署中“使用托管容器服务部署”会链接到云容器服务 CKS 控制台。

我的资源：

· 展示属于该用户的项目及对应镜像的数量、剩余空间等信息。其中每个项目的最大空间5GB。

4.3 我的项目

4.3.1 创建项目

具体操作请参考创建项目。

4.3.2 删除项目

(1) 在 CECSTACK 专属云控制台，单击页面左上角，选择“产品与服务 > 容器镜像服务 CCR”，进入容器镜像服务控制台页面。

(2) 选择左侧导航栏“我的项目”，进入我的项目页面。

(3) 单击待删除项目操作列“删除”，后台会进行校验，确认此项目下是否存在镜像文件，如果存在，提示需要先手动删除镜像文件。

(4) 删除完此项目下的镜像文件后，再次单击右侧操作列“删除”，弹出删除确认提示框。

(5) 单击“确定”，完成删除项目操作。

4.3.3 自动同步项目

任务简介

镜像是一种区域性资源，私有镜像归属于其被创建时的区域，如果需要在其他区域使用某一镜像，可以通过跨区域同步镜像功能实现。

跨区域同步镜像的典型场景为系统环境多区域部署。部署方式通常需要多区域部署，快速实现跨区域同步云服务器的方法之一便是通过同步镜像将一个镜像复制到多个区域，然后使用镜像快速部署云服务器。

前提条件

在新建项目时，需要勾选“全局项目”才可以进行自动同步。

操作步骤

(1) 在 CECSTACK 专属云控制台，单击页面左上角，选择“产品与服务 > 容器镜像服务 CCR”，进入容器镜像服务控制台页面。

(2) 选择左侧导航栏“我的项目”，进入我的项目页面。

(3) 单击目标项目操作列的“自动同步”，弹出镜像同步页面。

(4) 在同步镜像页面，填写相关信息后，单击“确定”。

(5) 单击“确定”，完成项目自动同步操作。

4.3.4 项目管理

(1) 在 CECSTACK 专属云控制台，单击页面左上角，选择“产品与服务 > 容器镜像服务 CCR”，进入容器镜像服务控制台页面。

(2) 选择左侧导航栏“我的项目”，进入我的项目页面。

(3) 选择待编辑的项目条目，单击仓库类型列的“公开”或“私有”，完成项目仓库类型编辑。

4.4 我的镜像

4.4.1 上传镜像

具体操作请参考上传镜像。

4.4.2 查看镜像详情

任务简介

可以查看某一镜像的详情信息。

操作步骤

(1) 在 CECSTACK 专属云控制台，单击页面左上角，选择“产品与服务 > 容器镜像服务 CCR”，进入容器镜像服务控制台页面。

(2) 在左侧导航栏，选择“我的镜像”，进入镜像列表页面。

(3) 选择需要查看的镜像，单击操作列“详情”，跳转至镜像详情页面，可查看镜像具体详情信息。

4.4.3 删除镜像

任务简介

镜像不满足用户需求或镜像超过可免费创建数量后，可删除无用镜像，释放镜像资源。

操作步骤

(1) 在 CECSTACK 专属云控制台，单击页面左上角，选择“产品与服务 > 容器镜像服务 CCR”，进入容器镜像服务控制台页面。

(2) 在左侧导航栏，选择“我的镜像”，进入我的镜像页面。

(3) 选择待删除镜像，单击操作列“删除”。

(4) 弹出删除确认提示框，单击“确定”，完成删除镜像操作。

4.4.4 镜像自动同步

任务简介

镜像是一种区域性资源，私有镜像归属于其被创建时的区域，如果需要在其他区域使用某一镜像，可以通过跨区域同步镜像功能实现。

操作步骤

(1) 在 CECSTACK 专属云控制台，单击页面左上角，选择“产品与服务 > 容器镜像服务 CCR”，进入容器镜像服务控制台页面。

(2) 选择左侧导航栏“我的镜像”，进入我的项目页面。

(3) 单击目标项目操作列的“自动同步”，弹出镜像同步页面。

(4) 在同步镜像页面，填写相关信息后，单击“确定”。

(5) 单击“确定”，完成镜像自动同步操作。

4.5 我的Chart包

4.5.1 上传 Chart 包

具体操作请参考上传 Chart 包。

4.5.2 查看 Chart 包详情

任务简介

可以查看某一 Chart 包的详情信息。

操作步骤

(1) 在 CECSTACK 专属云控制台，单击页面左上角，选择“产品与服务 > 容器镜像服务 CCR”，进入容器镜像服务控制台页面。

(2) 在左侧导航栏，选择“我的 Chart 包”，进入 Chart 包列表页面。

(3) 选择需要查看的 Chart 包，单击操作列“详情”，跳转至详情页面，可查看详情信息。

(4) 详情页面展示 Chart 包的基本信息和版本信息，可单击版本管理中操作列的“详情”，查看版本的详情。

4.5.3 删除 Chart 包

任务简介

Chart 包不满足用户需求或超过存储限额后，可删除无用 Chart 包，释放资源。

操作步骤

(1) 在CECSTACK专属云控制台，单击页面左上角，选择“产品与服务 > 容器镜像服务 CCR”，进入容器镜像服务控制台页面。

(2) 在左侧导航栏，选择“我的 Chart 包”，进入我的 Chart 包页面。

(3) 选择待删除 Chart 包，单击操作列“删除”。

(4) 弹出删除确认提示框，单击“确定”，完成删除 Chart 包操作。

4.5.4 下载 Chart 包

(1) 在CECSTACK专属云控制台，单击页面左上角，选择“产品与服务 > 容器镜像服务 CCR”，进入容器镜像服务控制台页面。

(2) 在左侧导航栏，选择“我的 Chart 包”，进入我的 Chart 包页面。

(3) 选择具体 Chart 包，单击操作列“下载”将下载该 Chart 包最新版本。

(4) 单击 Chart 包名称链接，进入 Chart 包详情页面，可以 Chart 包的具体版本，单击操作列“下载”，完成下载特定版本 Chart 包操作。

4.6 访问凭证

具体内容请参考创建访问凭证。

4.7 镜像同步

任务简介

可以在该页面查看项目和镜像里自动同步的镜像。

操作步骤

(1) 在 CECSTACK 专属云控制台，单击页面左上角，选择“产品与服务 > 容器镜像服务 CCR”，进入容器镜像服务控制台页面。

(2) 选择左侧导航栏“镜像同步”，进入镜像同步页面。

(3) 可以查看到目前已经存在的镜像同步的信息。

(4) 单击目标镜像的操作列的“删除”，在出现的提示窗口，点击“确定”，即可删除对应的镜像同步。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服