配置机器人账户
更新时间:2025-05-26
概述
在传统基于人员身份(如子账号)的权限体系中,自动化任务(如 CI/CD 镜像拉取、流水线部署等)的可用性高度依赖关联人员的账号状态。当人员发生离职、转岗或权限变更时,可能导致子账号失效或权限回收,进而触发任务执行异常(例如镜像拉取鉴权失败、流水线中断),影响业务连续性与稳定性。
机器人账户是一种独立于人员身份的专用凭证,可保证保障自动化流程的稳定性与安全性。在CCR企业版实例中创建机器人账户时,可选访问凭证的到期时间。建议日常临时推送/拉取镜像时使用有效期较短访问凭证,避免凭证泄露造成数据安全风险。
注意事项
- 访问凭证生成后请妥善保管,如果遗失请及时禁用或删除。
- 机器人账号名含特殊字符$,登录仓库时需使用单引号包裹用户名,例如: -u 'ccr$test' -p testpw,避免登录失败。
- 机器人账户无法验证实际使用者身份,需谨慎分发并依赖云审计监控操作。如需严格追踪责任人,建议使用IAM主子用户账号。
使用前提
- 已成功创建企业版实例。
操作步骤
创建机器人账户
- 登录百度智能云控制台,选择“产品服务 > 容器 > 容器镜像服务”。
- 进入目标实例,点击“实例管理”,选择“机器人账户”。
- 点击“创建机器人账户”按钮,在弹窗中完成以下配置。
| 配置项 | 配置说明 |
|---|---|
| 账号名称 | 必须以小写字母或者数字开头,支持小写字母、数字和._-,长度限制在1-65之间。 请注意,名称将自动增加前缀用于标记该账号为机器人账号,如填写 test,则实际使用的用户名为:ccr$test。 |
| 账号密码 | 自动生成:账户创建成功后,会自动生成密钥,仅展示一次,注意复制保留。 手动输入:略 |
| 描述 | 该账户的描述信息,支持中文。 |
| 到期时间 | 可选永不过期,或指定天数过期,默认为30天。 |
| 权限配置 | 支持选择多个命名空间,并独立配置各个命名空间的权限类型;建议按照最小权限原则仅选择必要的命名空间,并优先使用只读权限。 只读模式下不支持镜像推送。 |
- 创建完成后请立即保存用户名及密码,页面仅展示一次,页面关闭后将无法找回。
管理机器人账户
- 进入目标实例,点击“实例管理”,选择“机器人账户”。
- 机器人账户页面中可根据名称进行搜索,并管理已有机器人账户,支持以下操作:
- 查看已有机器人账户。
- 查看指定机器人账户的权限范围。
- 编辑指定机器人账户的配置,除名称不可调整外,其他配置均可修改。
- 禁用指定机器人账户,禁用后可再启用。账号禁用时,将无法用于镜像推送、拉取,请谨慎操作。
- 删除机器人账户,删除后不可恢复。账号删除后,将无法用于镜像推送、拉取,请谨慎操作。