概述

本文档介绍 CCR 中主子账号命名空间的授权机制，以及子账号授权和权限策略配置方法。

前提条件

• 已登录百度智能云控制台并进入 CCR。
• 当前账号具备命名空间授权或子账号权限策略配置权限。
• 目标子账号已开通 CCR 服务。## 主子账号命名空间权限说明 命名空间分为读写和只读两种权限。进行 Docker 命令行操作时，需要先完成命名空间授权。
• 拥有读写权限的账号可以管理命名空间和该命名空间下的镜像，也可以继续给其他子账号授权，Docker 可执行 push 和 pull。
• 只读权限的账号可以查看该命名空间和镜像，Docker 可执行 pull。

主、子账号对于命名空间的权限不同。主账号拥有所有子账号命名空间的权限。即使命名空间由子账号创建，主账号仍可执行增删改查操作。子账号只能对自己创建的命名空间执行增删改操作；如需操作非自己创建的命名空间，需要先获得对应命名空间的授权。

如何进行子账号授权

导航路径：CCR 实例列表->命名空间。

步骤 1：打开子账号授权入口

进入 CCR 实例列表 后，点击 【命名空间】，在目标命名空间所在行点击 【子账号授权】。

步骤 2：为子账号选择授权权限

在弹出的授权窗口中，查看所有已开通 CCR 服务的子账号，按需为目标子账号选择 读写 或 只读 权限后完成授权。

• 读写权限：可管理命名空间和镜像，也可以继续给其他子账号授权，Docker 可执行 push 和 pull。
• 只读权限：可查看命名空间和镜像，Docker 可执行 pull。

步骤 3：确认 Docker 登录用户名

如需确认被授权账号的 Docker 登录名，进入 访问凭据 页面，在 用户名 处查看。该用户名即 Docker 登录名。

账号权限策略

CCR 有三种权限策略，用于对子账号进行界面和接口级别的权限管理。主账号不需要权限策略授权。如果需要在 CCR 界面进行操作，需要授予以下权限策略之一。

• CCRFullControlPolicy：完全控制 CCR 的权限。
• CCROperatePolicy：运维操作 CCR 的权限。
• CCRReadPolicy：只读访问 CCR 的权限。

CCRFullControlPolicy

CCRFullControlPolicy 是页面和接口操作的全集，包括以下操作：

• 创建命名空间，进行命名空间授权，生成临时密钥，启动镜像扫描，创建镜像迁移仓库，创建镜像迁移策略，创建镜像迁移任务，上传 Helm 包。
• 删除命名空间、镜像、镜像版本、镜像迁移仓库、镜像迁移策略、镜像迁移任务、Helm 包等。
• 更新命名空间镜像、镜像版本、镜像迁移仓库、启动镜像迁移策略、停止镜像迁移任务等。
• 获取命名空间列表、镜像、镜像版本、镜像版本扫描、Helm、镜像迁移仓库、镜像迁移策略、镜像迁移任务等。

CCROperatePolicy

CCROperatePolicy 支持页面和接口的创建、更新和读取操作：

• 启动镜像扫描，生成临时密钥，上传 Helm 包。
• 更新命名空间镜像、镜像版本、镜像迁移仓库、启动镜像迁移策略、停止镜像迁移任务等。
• 获取命名空间列表、镜像、镜像版本、镜像版本扫描、Helm、镜像迁移仓库、镜像迁移策略、镜像迁移任务等。

CCRReadPolicy

CCRReadPolicy 仅支持界面和接口读取操作：

• 获取命名空间列表、镜像、镜像版本、镜像版本扫描、Helm、镜像迁移仓库、镜像迁移策略、镜像迁移任务等。

如何给子账号增加权限策略

导航路径：用户中心->多用户访问控制。

进入 用户中心->多用户访问控制，点击 【编辑权限】，赋予 CCRFullControlPolicy、CCROperatePolicy、CCRReadPolicy 或超级管理员权限。