Details zu Container Registry
In diesem Thema werden Details zum Schreiben von Policys beschrieben, die den Zugriff auf Oracle Cloud Infrastructure Registry (auch als Container Registry bezeichnet) kontrollieren.
Ressourcentypen
repos
Beachten Sie, dass repos
alle Container Registry-Ressourcen abdeckt, nämlich Repositorys, Images und Imagesignaturen.
Unterstützte Variablen
Oracle Cloud Infrastructure Registry unterstützt alle allgemeinen Variablen (siehe Allgemeine Variablen für alle Anforderungen) sowie die hier aufgelisteten Variablen.
Der Ressourcentyp repos
kann die folgenden Variablen verwenden:
Variable | Variablentyp | Kommentare |
---|---|---|
target.repo.name
|
Zeichenfolge | Mit dieser Variablen können Sie den Zugriff auf bestimmte Repositorys kontrollieren. Eine Beispiel-Policy finden Sie unter Policys zur Kontrolle des Repository-Zugriffs. |
Wenn Sie einen API-Vorgang autorisieren, mit einem von der Policy-Variablen target.resource.tag
angegebenen Tag auf eine Container Registry-Ressource zuzugreifen, müssen Sie das Tag auf eine Ressource anwenden, die für den API-Vorgang geeignet ist:
API | Können Sie ein Tag auf eine Ressource anwenden, um den Zugriff zu autorisieren? | Wenn ja, welche Ressource |
---|---|---|
ListContainerRepositories |
Nein | Kein Wert |
ListContainerImages |
Nein | Kein Wert |
ListContainerImageSignatures |
Nein | Kein Wert |
GetContainerConfiguration |
Nein | Kein Wert |
GetContainerRepository |
Ja | Repository |
GetContainerImage |
Ja | Image |
GetContainerImageSignature |
Ja | Imagesignatur |
CreateContainerRepository |
Nein | Kein Wert |
DeleteContainerRepository |
Ja | Repository |
UpdateContainerImage |
Ja | Image |
DeleteContainerImage |
Ja | Image |
RestoreContainerImage |
Ja | Image |
CreateContainerImageSignature |
Nein | Kein Wert |
UpdateContainerImageSignature |
Ja | Imagesignatur |
DeleteContainerImageSignature |
Ja | Imagesignatur |
RemoveContainerVersion |
Ja | Image |
UpdateContainerRepository |
Ja | Repository |
ChangeContainerRepositoryCompartment |
Ja | Repository |
UpdateContainerConfiguration |
Nein | Kein Wert |
Details für Kombinationen aus Verb + Ressourcentyp
In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect
> read
> use
> manage
. Beispiel: Eine Gruppe, die eine Ressource verwenden kann, kann diese Ressource auch prüfen und lesen. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt.
Beispiel: Das Verb read
für den Ressourcentyp repos
umfasst dieselben Berechtigungen und API-Vorgänge wie das Verb inspect
sowie die Berechtigung REPOSITORY_READ und eine Reihe von API-Vorgängen (z.B. GetContainerRepository
usw.). Das Verb use
deckt im Vergleich zu read
noch eine weitere Berechtigung und einen weiteren API-Vorgang ab. Zuletzt deckt manage
mehr Berechtigungen und Operationen ab als use
.
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect |
REPOSITORY_INSPECT |
|
kein Wert |
read |
INSPECT + REPOSITORY_READ |
|
kein Wert |
use |
keine zusätzlichen |
kein Wert |
|
manage |
USE + REPOSITORY_CREATE REPOSITORY_DELETE REPOSITORY_UPDATE REPOSITORY_MANAGE |
|
kein Wert |
Für jeden API-Vorgang erforderliche Berechtigungen
In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.
Informationen zu Berechtigungen finden Sie unter Berechtigungen.
API-Vorgang | Erforderliche Berechtigungen für den Vorgang |
---|---|
ListContainerRepositories |
REPOSITORY_INSPECT |
CreateContainerRepository |
REPOSITORY_CREATE |
GetContainerRepository |
REPOSITORY_READ |
UpdateContainerRepository |
REPOSITORY_MANAGE |
DeleteContainerRepository |
REPOSITORY_DELETE |
ChangeContainerRepositoryCompartment |
REPOSITORY_MANAGE |
ListContainerImages |
REPOSITORY_INSPECT |
GetContainerImage |
REPOSITORY_READ |
UpdateContainerImage |
REPOSITORY_UPDATE |
DeleteContainerImage |
REPOSITORY_UPDATE |
RestoreContainerImage |
REPOSITORY_UPDATE |
RemoveContainerVersion |
REPOSITORY_UPDATE |
ListContainerImageSignatures |
REPOSITORY_INSPECT |
GetContainerImageSignature |
REPOSITORY_READ |
CreateContainerImageSignature |
REPOSITORY_UPDATE |
UpdateContainerImageSignature |
REPOSITORY_UPDATE |
DeleteContainerImageSignature |
REPOSITORY_UPDATE |
GetContainerConfiguration |
REPOSITORY_INSPECT |
UpdateContainerConfiguration |
REPOSITORY_MANAGE |