在常见的多租户场景中,不同RAM用户可以获得访问凭证以访问企业版实例。当员工离职或密码泄露时,可通过清除用户的访问凭证来保障实例安全。本文介绍如何使用阿里云账号或RAM用户查看、清除固定密码,并禁止该RAM用户创建新的固定密码。
使用须知
清除固定密码后,您将无法使用该用户的固定密码进行容器镜像或Helm Chart等其他制品的上传和下载。
请确保在清除固定密码之前已评估所有可能的风险。
主账号权限:阿里云主账号可以清除其名下所有ACR企业版实例中,与主账号自身及其所有RAM用户关联的固定密码。
RAM用户权限:RAM用户可以管理其权限范围内其他RAM用户的固定密码。
清除固定密码后,此用户仍可重新设置新固定密码。如果您需要禁止目标RAM用户创建固定密码,请参见禁止RAM用户为目标实例设置固定密码。
为RAM用户授予目标实例管理权限
阿里云主账号默认拥有其名下所有ACR企业版实例的管理权限,您只需执行清除已经设置的固定密码操作。如果您使用的是RAM用户,则需确保该RAM用户具备以下的实例管理权限。
使用以下的策略内容创建自定义策略。
说明您可以通过设置资源(Resource)来控制RAM用户的管理权限。以下是如何在杭州地域对实例
cri-123456创建权限管理的描述:$regionId:指定目标企业版实例的地域,例如cn-hangzhou。$userId:输入主账号的UID,例如*。$instanceId:提供目标企业版实例的ID,例如cri-123456。
{ "Statement": [ { "Effect": "Allow", "Action": [ "ram:ListUserBasicInfos", "cr:ListInstance" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cr:GetInstance", "cr:ListInstanceUser", "cr:RevokeInstanceUserLoginPassword" ], "Resource": [ "acs:cr:$regionId:$userId:instance/$instanceId" ] } ], "Version": "1" }将已创建的自定义策略为目标RAM用户授权。
清除已经设置的固定密码
该功能仅对拥有目标企业版实例管理权限的用户可用。
登录容器镜像服务控制台。
在顶部菜单栏,选择所需地域。
在实例列表页面单击目标企业版实例。
在企业版实例管理页面左侧导航栏选择。
在访问凭证页面,单击实例访问凭证管理页签。可以查看成功设置固定密码的用户列表,列表包含用户信息和固定密码信息两部分。
说明此列表仅显示固定密码记录。
用户信息:包括用户名、用户ID、用户类型及用户状态。
固定密码信息:包括访问凭证状态和访问凭证设置时间。
单击目标用户右侧操作列下的清除固定密码,清除目标用户在该实例下的固定密码。
重要确保待删除的固定密码没有被任何业务应用依赖后,再执行此操作。
禁止RAM用户为目标实例设置固定密码
在清除RAM用户设置的固定密码后,此用户仍然可以设置新的固定密码。如果希望禁止目标RAM用户创建固定密码,可以根据以下权限策略对其进行限制。
使用以下的策略内容创建自定义策略。
{ "Statement": [ { "Effect": "Deny", "Action": [ "cr:ResetLoginPassword" ], "Resource": [ "acs:cr:$regionId:$userId:instance/$instanceId" ] } ], "Version": "1" }将已创建的自定义策略为目标RAM用户授权。