管理访问凭证

在常见的多租户场景中,不同RAM用户可以获得访问凭证以访问企业版实例。当员工离职或密码泄露时,可通过清除用户的访问凭证来保障实例安全。本文介绍如何使用阿里云账号或RAM用户查看、清除固定密码,并禁止该RAM用户创建新的固定密码。

使用须知

重要
  • 清除固定密码后,您将无法使用该用户的固定密码进行容器镜像或Helm Chart等其他制品的上传和下载。

  • 请确保在清除固定密码之前已评估所有可能的风险。

  • 主账号权限:阿里云主账号可以清除其名下所有ACR企业版实例中,与主账号自身及其所有RAM用户关联的固定密码。

  • RAM用户权限:RAM用户可以管理其权限范围内其他RAM用户的固定密码。

  • 清除固定密码后,此用户仍可重新设置新固定密码。如果您需要禁止目标RAM用户创建固定密码,请参见禁止RAM用户为目标实例设置固定密码

RAM用户授予目标实例管理权限

阿里云主账号默认拥有其名下所有ACR企业版实例的管理权限,您只需执行清除已经设置的固定密码操作。如果您使用的是RAM用户,则需确保该RAM用户具备以下的实例管理权限。

  1. 使用以下的策略内容创建自定义策略

    说明

    您可以通过设置资源(Resource)来控制RAM用户的管理权限。以下是如何在杭州地域对实例cri-123456创建权限管理的描述:

    • $regionId:指定目标企业版实例的地域,例如 cn-hangzhou

    • $userId:输入主账号的UID,例如 *

    • $instanceId:提供目标企业版实例的ID,例如 cri-123456

    {
      "Statement": [
       {
          "Effect": "Allow",
          "Action": [
              "ram:ListUserBasicInfos",
              "cr:ListInstance"
          ],
          "Resource": "*"
        },
        {
          "Effect": "Allow",
          "Action": [
            "cr:GetInstance",
            "cr:ListInstanceUser",
            "cr:RevokeInstanceUserLoginPassword"
          ],
          "Resource": [
            "acs:cr:$regionId:$userId:instance/$instanceId"   
          ]
        }
      ],
      "Version": "1"
    }
  2. 将已创建的自定义策略为目标RAM用户授权

清除已经设置的固定密码

说明

该功能仅对拥有目标企业版实例管理权限的用户可用。

  1. 登录容器镜像服务控制台

  2. 在顶部菜单栏,选择所需地域。

  3. 实例列表页面单击目标企业版实例。

  4. 在企业版实例管理页面左侧导航栏选择实例管理 > 访问凭证

  5. 访问凭证页面,单击实例访问凭证管理页签。可以查看成功设置固定密码的用户列表,列表包含用户信息和固定密码信息两部分。

    说明

    此列表仅显示固定密码记录。

    • 用户信息:包括用户名、用户ID、用户类型用户状态

    • 固定密码信息:包括访问凭证状态访问凭证设置时间

    image

  6. 单击目标用户右侧操作列下的清除固定密码,清除目标用户在该实例下的固定密码。

    重要

    确保待删除的固定密码没有被任何业务应用依赖后,再执行此操作。

禁止RAM用户为目标实例设置固定密码

在清除RAM用户设置的固定密码后,此用户仍然可以设置新的固定密码。如果希望禁止目标RAM用户创建固定密码,可以根据以下权限策略对其进行限制。

  1. 使用以下的策略内容创建自定义策略

    {
      "Statement": [
        {
          "Effect": "Deny",
          "Action": [
            "cr:ResetLoginPassword"
          ],
          "Resource": [
            "acs:cr:$regionId:$userId:instance/$instanceId"
          ]
        }
      ],
      "Version": "1"
    }
  2. 将已创建的自定义策略为目标RAM用户授权