第3章 ロボットアカウントトークン

ロボットアカウント トークン は、通常の Docker v2 エンドポイント経由で Red Hat Quay レジストリーにアクセスするために使用される パスワードタイプ の認証情報です。パスワード自体は暗号化されているため、UI 上で トークン として定義されます。

ロボットアカウントトークンは、自動化および継続的インテグレーションワークフロー向けに設計された永続的なトークンです。デフォルトでは、Red Hat Quay のロボットアカウントトークンは期限切れにならず、ユーザーの操作も必要ありません。そのため、ロボットアカウントは非対話型のユースケースに最適です。

ロボットアカウントトークンは、ロボットの作成時に自動的に生成され、ユーザー固有ではありません。つまり、作成されたユーザーと組織の名前空間に接続されます。たとえば、project_tools+<robot_name> という名前のロボットは project_tools 名前空間に関連付けられます。

ロボットアカウントトークンを使用すると、ユーザーの個人認証情報を必要とせずにアクセスが可能になります。ロボットアカウントがどのように設定されているか (例: READ、WRITE、または ADMIN 権限のいずれか) によって、最終的にロボットアカウントが実行できるアクションが決まります。

ロボットアカウントトークンは永続的であり、デフォルトでは期限切れにならないため、手動で更新せずに Red Hat Quay に常にアクセスする必要がある自動ワークフローに最適です。ただし、ロボットアカウントトークンは UI を使用して簡単に再生成できます。CLI 経由で適切な API エンドポイントを使用して再生成することもできます。Red Hat Quay デプロイメントのセキュリティーを強化するために、管理者はロボットアカウントトークンを定期的に更新する必要があります。さらに、ロボットアカウントを使用したキーレス認証 機能により、ロボットアカウントトークンを外部 OIDC トークンと交換して 1 時間のみ有効化できるため、レジストリーのセキュリティーが強化されます。

名前空間が削除されたり、ロボットアカウント自体が削除されたりすると、コレクターの実行がスケジュールされているときにガベージコレクションが行われます。

次のセクションでは、API を使用して組織ロボットとユーザーロボットのロボットアカウントトークンを再生成する方法を説明します。