第 2 章 registry 范围访问管理

默认情况下，registry 的所有 Red Hat Quay 成员都可以创建存储库，并将内容上传到自己的用户帐户。例如，当 user1 推送工件标签（如 /< user1>/<image>:<tag > ）时，会创建一个名称 user1/image 的存储库。该仓库内部是工件标签的相关信息。

使用 FEATURE_RESTRICTED_USERS 配置字段，Red Hat Quay 管理员可以限制属于 registry 的所有用户从推送镜像或工件推送到 registry。此配置字段有效地呈现所有用户创建新机构或全部推送内容，除非他们已经是该机构的一部分，并定义为该机构的团队成员 ；即，受限用户仍根据他们所属的团队在机构中具有普通权限。

例如，Red Hat Quay 管理员在其 config.yaml 文件中设置 FEATURE_RESTRICTED_USERS 配置字段，如下所示：

FEATURE_RESTRICTED_USERS: true

FEATURE_RESTRICTED_USERS: true

当按照所示设置时，user1 无法使用 Red Hat Quay UI 创建新机构。尝试后，返回以下出错信息： Unauthorized。另外，如果 user1 尝试使用 CLI （即 /< user1>/<image>:<tag> ）将镜像推送到自己的命名空间，则会返回以下出错信息： Error: writing blob: Initing layer upload to /v2/user1/<image>/blobs/uploads/uploads/ in <quay-server.example.com>: unauthorized: 对请求的资源的访问不是授权。但是，如果 user1 是管理员定义的机构团队的一部分，则他们维护该团队的权限。例如，如果 user1 添加到组织的团队并被授予 Admin 角色，则他们具有该组织的管理特权。

当 FEATURE_RESTRICTED_USERS 与 RESTRICTED_USERS_WHITELIST 配置字段搭配使用时，Red Hat Quay 管理员可以允许指定的成员继续推送到 registry 或组织。通常，当设置了 FEATURE_RESTRICTED_USERS 时，Red Hat Quay 管理员也可以设置 RESTRICTED_USERS_WHITELIST，否则 registry 的所有成员（团队定义除外）都能够获得执行基本任务的能力。

例如，Red Hat Quay 管理员在其 config.yaml 文件中设置 FEATURE_RESTRICTED_USERS 和 RESTRICTED_USERS_WHITELIST 配置字段，如下所示：

# ...
FEATURE_RESTRICTED_USERS: true
RESTRICTED_USERS_WHITELIST:
      - user2
# ...

# ...
FEATURE_RESTRICTED_USERS: true
RESTRICTED_USERS_WHITELIST:
      - user2
# ...

使用这个配置，user 2 以外的 所有用户都限制为推送镜像或创建机构。团队的其他用户也具有这些特权。不是由 RESTRICTED_USERS_WHITELIST 字段定义的 registry 的一部分，或者机构团队的一部分在 registry 中没有权限，因此无法执行基本任务。