主子账号命名空间权限说明

命名空间分为读写和只读两种权限，进行docker命令行操作时，需要进行命名空间授权:

• 拥有读写权限的账号，可以管理命名空间和空间的镜像，也可以给其他子账号进行授权，docker可以push和pull镜像。
• 只读权限的账号可以看到该命名空间和镜像，docker可以拉取镜像。

主、子账号对于命名空间的权限是不同的。主账号拥有所有子账号命名空间的权限，即子账号创建命名空间，主账号能进行增删改查操作。子账号只能对自己创建的命名空间增删改，要操作非自己创建的命名空间，需要被授权命名空间。

如何进行子账号授权

点击左侧导航栏命名空间一列，找到要授权的命名空间，点击子账号授权。

右侧会弹出窗口，展示所有开通了CCR服务的子账号，选择读写或者只读进行授权。

用户名为docker登录名，可以在访问凭据->用户名处看到。

账号权限策略

CCR有三种权限策略，是针对子账号的界面和接口级别的权限管理，主账号不需要权限策略授权。如果需要在CCR界面进行任何操作，需要进行以下三种选择的授权。

• CCRFullControlPolicy 完全控制CCR的权限
• CCROperatePolicy 运维操作CCR的权限
• CCRReadPolicy 只读访问CCR的权限

CCRFullControlPolicy

CCRFullControlPolicy是页面和接口操作的全集，包括以下多种操作：

• 创建命名空间，进行命名空间授权，生成临时密钥，启动镜像扫描，创建镜像迁移仓库，创建镜像迁移策略，创建镜像迁移任务，上传Helm包；
• 删除命名空间、镜像、镜像版本、镜像迁移仓库、镜像迁移策略、镜像迁移任务、Helm包等；
• 更新命名空间镜像、镜像版本、镜像迁移仓库、启动镜像迁移策略、停止镜像迁移任务等；
• 获取命名空间列表、镜像、镜像版本、镜像版本扫描、Helm、镜像迁移仓库、镜像迁移策略、镜像迁移任务等；

CCROperatePolicy

CCROperatePolicy支持页面和接口的创建、更新和读取操作：

• 启动镜像扫描，生成临时密钥，上传Helm包；
• 更新命名空间镜像、镜像版本、镜像迁移仓库、启动镜像迁移策略、停止镜像迁移任务等；
• 获取命名空间列表、镜像、镜像版本、镜像版本扫描、Helm、镜像迁移仓库、镜像迁移策略、镜像迁移任务等；

CCRReadPolicy

CCRReadPolicy仅支持界面和接口读取操作：

• 获取命名空间列表、镜像、镜像版本、镜像版本扫描、Helm、镜像迁移仓库、镜像迁移策略、镜像迁移任务等；

如何给子账号增加权限策略

进入用户中心->多用户访问控制->编辑权限，赋予CCR权限策略或者超级管理员权限。