为了提供更完善的鉴权功能,容器镜像服务 TCR 计划于2025年4月25日新增部分接口接入腾讯云 CAM 鉴权。如果您的子账号仍需访问对应接口,请参考以下指南 通过策略生成器创建自定义策略,否则您的子账号将无法访问对应接口。感谢您对腾讯云的信赖与支持,若在使用云产品过程中有任何问题,请通过 在线咨询 与我们联系。
常见授权途径
途径1: 新建自定义策略
实现方式
通过最小化权限原则为不同的子账户创建策略并绑定到子用户。
适用场景
权限管控比较严格,需要将每个子用户的操作范围按需精细化。
操作步骤
1. 在访问管理控制台的 策略 页面,单击左上角的新建自定义策略。
2. 在弹出的选择创建方式窗口中,单击按策略语法创建,进入选择策略模板页面。
3. 选择策略模板页面,可输入关键字进行搜索。例如:模板类型为全部模板,关键字为 a,选择 AdministratorAccess 模板。
4. 单击下一步,进入编辑策略页面。
5. 在编辑策略页面,确认策略名称、策略内容后单击完成,完成按策略语法创建自定义策略操作。其中默认的策略名称和策略内容由控制台自动生成,策略名称默认为 policygen,后缀数字根据创建日期生成。
6. 在访问管理控制台的 策略 页面,找到已创建出来的策略,单击操作列的关联用户/组/角色。
7. 在弹出的“关联用户/用户组/角色”窗口,勾选要关联的用户/用户组/角色,单击确定,完成通过策略关联用户操作。
说明:
若您的接口为 DeleteImage,DeleteNamespace,DescribeImages,DescribeTagRetentionExecutionTask,ForwardRequest,请使用其对应的 “CAM侧鉴权需配置接口名”来添加权限。
例如:若接口为 DescribeImages,则需要使用 DescribeRepositories 接口来添加权限。
途径2:绑定预设策略
实现方式
将含有 TCR 所有接口操作权限的 QcloudTCRFullAccess 预设策略绑定到子账户。
适用场景
业务人员基本具备所有功能模块的操作权限。
操作步骤
1. 在访问管理控制台的 策略 页面,选择策略类型“容器服务”,找到 “QcloudTCRFullAccess”,单击操作列的关联用户/组/角色。
2. 在关联用户/用户组/角色中,勾选要关联的用户/用户组/角色,单击确定,完成通过策略关联用户操作。
新增鉴权的接口列表
接口名称 | 接口描述 | CAM 侧鉴权需配置接口名 |
AuthorizeUserImageBuildConfig | 企业版添加 coding 认证 | - |
CreateApplicationTokenPersonal | 个人版创建第三方应用访问凭证 | - |
CreateNamespace | 创建企业版命名空间 | - |
CreateRepository | 创建企业版镜像仓库 | - |
DeleteImage | 删除企业版指定镜像 | DeleteRepository |
DeleteNamespace | 删除企业版命名空间 | DeleteRepository |
DeleteRepositoryTags | 批量删除企业版 Repository Tag | - |
DescribeImageConfigPersonal | 查询个人版镜像版本配置信息 | - |
DescribeImageFilterPersonal | 查询个人版中与指定 tag 镜像内容相同的 tag 列表 | - |
DescribeImageLifecycleGlobalPersonal | 获取个人版全局镜像版本自动清理策略 | - |
DescribeImagePersonal | 获取个人版镜像仓库 tag 列表 | - |
DescribeImages | 查询企业版容器镜像信息 | DescribeRepositories |
DescribeInstanceAllNamespaces | 查询企业版所有实例命名空间 | - |
DescribeNamespacePersonal | 查询个人版命名空间信息 | - |
DescribeNamespaces | 查询企业版命名空间信息 | - |
DescribeRegions | 列出企业版实例可用区域 | - |
DescribeRepositories | 查询企业版镜像仓库信息 | - |
DescribeRepositoryAllPersonal | 查询个人版所有可访问的镜像仓库 | - |
DescribeRepositoryFilterPersonal | 获取满足输入搜索条件的个人版镜像仓库 | - |
DescribeRepositoryOwnerPersonal | 查询个人版所有仓库 | - |
DescribeRepositoryPersonal | 查询个人版仓库信息 | - |
DescribeTagRetentionExecutionTask | 查询企业版版本保留执行任务 | DescribeTagRetentionRules |
DescribeUserQuotaPersonal | 查询个人版用户配额 | - |
ForwardRequest | TCR 代理转发接口 | DescribeInstances |
ListChartRelease | 查询企业版 Chart 版本列表 | - |
ManageInternalEndpoint | 管理企业版实例内网访问 VPC 链接 | - |
UploadHelmChart | 上传企业版 Helm Chart | - |
ValidateNamespaceExistPersonal | 验证个人版命名空间是否存在 | - |
ValidateUserPersonal | 验证个人版用户是否存在 | - |
