すべてのプロダクト
Search

このプロダクト

    Container Registry:アクセス資格情報の管理

    ドキュメントセンター

    Container Registry:アクセス資格情報の管理

    最終更新日:Feb 10, 2025

    一般的なマルチテナントシナリオでは、Resource Access Management (RAM) ユーザーは、Container Registry Enterprise Editionインスタンスにアクセスするためのさまざまなアクセス資格情報を取得できます。 従業員が辞任した場合、またはパスワードが漏洩した場合、従業員のアクセス資格情報を消去して、インスタンスのセキュリティを確保できます。 このトピックでは、Alibaba CloudアカウントまたはRAMユーザーを使用してパスワードを表示およびクリアする方法について説明します。 このトピックでは、RAMユーザーによるパスワードの指定を禁止する方法についても説明します。

    使用上の注意

    重要

    • パスワードをクリアすると、パスワードを使用してコンテナイメージやHelmチャートなどのアーティファクトをプッシュおよびプルできなくなります。

    • パスワードをクリアする前に、すべてのリスクを評価する必要があります。

    • Alibaba Cloudアカウントの権限: Alibaba Cloudアカウントは、Alibaba CloudアカウントのすべてのContainer Registry Enterprise EditionインスタンスのAlibaba CloudアカウントおよびAlibaba CloudアカウントのすべてのRAMユーザーに関連付けられているパスワードをクリアできます。

    • RAMユーザーの権限: RAMユーザーは、RAMユーザーの権限スコープ内で他のRAMユーザーのパスワードを管理できます。

    • パスワードがクリアされると、RAMユーザーは新しいパスワードを指定できます。 RAMユーザーによる新しいパスワードの指定を禁止できます。 詳細については、「RAMユーザーがContainer Registry Enterprise Editionインスタンスのパスワードを指定することを禁止する」をご参照ください。

    Container Registry Enterprise Editionインスタンスの管理に必要な権限をRAMユーザーに付与

    デフォルトでは、Alibaba Cloudアカウントには、Alibaba Cloudアカウント内のすべてのContainer Registry Enterprise Editionインスタンスを管理する権限があります。 Alibaba Cloudアカウントを使用してパスワードをクリアする方法については、「パスワードのクリア」をご参照ください。 RAMユーザーを使用してパスワードをクリアする場合は、次の操作を実行して、RAMユーザーに必要な権限を付与します。

    1. 次のポリシードキュメントを使用してカスタムポリシーを作成します。 詳細については、「カスタムポリシーの作成」をご参照ください。

      説明

      Resourceパラメーターを使用して、RAMユーザーの管理権限を制御できます。 たとえば、cri-123456という名前で中国 (杭州) リージョンにデプロイされたContainer Registry Enterprise Editionインスタンスを管理するために必要な権限をRAMユーザーに付与する場合は、次のパラメーターを設定します。

      • $regionId: Container Registry Enterprise EditionインスタンスがデプロイされているリージョンのID。 例: cn-hangzhou

      • $userId: Alibaba CloudアカウントのユーザーID (UID) 。 例: *

      • $instanceId: Container Registry Enterprise EditionインスタンスのID。 例: cri-123456

      {
  "Statement": [
   {
      "Effect": "Allow",
      "Action": [
          "ram:ListUserBasicInfos",
          "cr:ListInstance"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cr:GetInstance",
        "cr:ListInstanceUser",
        "cr:RevokeInstanceUserLoginPassword"
      ],
      "Resource": [
        "acs:cr:$regionId:$userId:instance/$instanceId"   
      ]
    }
  ],
  "Version": "1"
}

    2. カスタムポリシーをRAMユーザーにアタッチします。 詳細については、「カスタムポリシーをRAMユーザーにアタッチする」をご参照ください。

    パスワードのクリア

    説明

    この機能は、対応するContainer Registry Enterprise Editionインスタンスの管理権限を持つユーザーのみが使用できます。 ユーザーは、Alibaba CloudアカウントユーザーまたはRAMユーザーです。

    1. Container Registryコンソールにログインします。

    2. 上部のナビゲーションバーで、リージョンを選択します。

    3. [インスタンス] ページで、管理するEnterprise Editionインスタンスをクリックします。

    4. Container Registry Enterprise Editionインスタンスの管理ページの左側のナビゲーションウィンドウで、インスタンス > アクセス資格.

    5. [アクセス資格情報] ページで、[インスタンスアクセス資格情報] タブをクリックします。 パスワードが指定されているユーザーのリストを表示できます。 リストには、ユーザーとパスワードの情報が含まれます。

      説明

      このリストには、パスワードレコードのみが表示されます。

      • ユーザー情報: ユーザー名、ユーザーID、ユーザータイプ、およびユーザーステータスが含まれます。

      • パスワード情報: アクセス資格情報のステータスと設定時間が含まれます。

      image

    6. クリアするインスタンスパスワードのユーザーに対応する [操作] 列の [パスワードのクリア] をクリックします。

      重要

      パスワードをクリアする前に、ビジネスアプリケーションがパスワードに依存していないことを確認してください。

    RAMユーザーがContainer Registry Enterprise Editionインスタンスのパスワードを指定することを禁止する

    RAMユーザーのパスワードをクリアしても、RAMユーザーは新しいパスワードを指定できます。 RAMユーザーによる新しいパスワードの指定を禁止する場合は、次の操作を実行します。

    1. 次のポリシードキュメントを使用してカスタムポリシーを作成します。 詳細については、「カスタムポリシーの作成」をご参照ください。 

      {
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cr:ResetLoginPassword"
      ],
      "Resource": [
        "acs:cr:$regionId:$userId:instance/$instanceId"
      ]
    }
  ],
  "Version": "1"
}

    2. カスタムポリシーをRAMユーザーにアタッチします。 詳細については、「カスタムポリシーをRAMユーザーにアタッチする」をご参照ください。