用户级账号管理

最近更新时间: 2026-06-30 15:06:00

操作场景

推送拉取容器镜像需要首先使用凭证信息登录至实例,即在 Docker 客户端中执行 docker login 命令并输入用户名及密码,该用户名及密码仅用于该实例的登录及认证鉴权,不可用于其他场景。本文档介绍如何在企业版实例中管理与云账号关联的用户级账号。
当用户购买企业版实例后,若希望交由多个子账号同时管理使用,如推送/拉取镜像,可先由账号管理员配置各子账号权限(请参见 企业版授权方案示例),子账号登录产品控制台后,可生成用户级账号,即与自己身份关联的 Docker Registry 访问凭证(访问凭证的用户名与子账号 ID 相同),并用于执行仓库登录,镜像推送、拉取。使用与子账号关联的用户级账号操作镜像时,读写行为将被记录,并可追溯至账号持有人,可用于内部审计。
在创建用户级账号时,可选创建临时访问凭证,或生成长期访问凭证。建议日常临时推送/拉取镜像时使用临时访问凭证,避免凭证泄漏造成数据安全风险。

  • 长期访问凭证:生成后永久有效,支持禁用及删除。长期访问凭证可应用在前期测试、CICD 流水线及容器集群拉取镜像等场景中。

    注意

    长期访问凭证生成后请妥善保管,如果遗失请及时禁用或删除。

  • 临时登录指令:1小时内有效,生成后无法禁用及吊销。临时登录指令可应用在临时使用,对外单次授权等场景中,对安全性要求较高的生产集群也可通过定时刷新的方式进行使用。

前提条件

在获取 TCR 企业版实例访问凭证前,您需要完成以下准备工作:

操作步骤

获取长期访问凭证

  1. 登录容器镜像服务控制台,选择左侧导航栏中的访问凭证,并选择用户级账号。
  2. 用户级账号页面中选择地域及实例名称,并单击新建
  3. 在新建访问凭证页面中,按照以下步骤进行获取:
    1. 新建访问凭证步骤中,输入凭证用途描述并单击下一步
      3.2 在保存访问凭证步骤中,单击保存访问凭证下载凭证信息。请妥善保管访问凭证,仅一次保存机会
  4. 创建完成后即可在访问凭证页签中查看,您还可进行访问凭证的禁用及删除操作。

获取临时登录指令

  1. 登录容器镜像服务控制台,选择左侧导航栏中的访问凭证,并选择用户级账号
  2. 用户级账号页面中选择地域及实例名称,并单击生成临时登录指令
  3. 在临时登录指令页面中,单击复制登录指令即可获取临时访问凭证。

使用 API 创建

您还可以使用 CreateInstanceToken 接口创建实例访问凭证。

后续操作

请参考 登录 Registry 实例 登录企业版实例。