スコープ付きアクセストークンによるセキュリティのレベルアップ

11月 2024 日の更新: Docker セキュリティドキュメントを読む最新の セキュリティ機能について学習します。 次に、 Docker サブスクリプション ページ にアクセスして、最適なプランを見つけてください。

スコープ付きトークンが登場!

スコープを使用すると、Docker Hub 上のコンテンツやその他のパブリック コンテンツに対してトークンが持つアクセス権をよりきめ細かく制御できます。 

Docker Hub にトークンを初めて導入してからしばらく経ちましたが ( 2019 年)、Docker Hub で認証する方法として、Pro プランまたはチーム プランのアカウントに個人用アクセス トークン (PAT) にスコープを適用する機能が追加されました。 

1 1

アクセス トークンは Docker Hub のパスワードの代わりに使用でき、これらのトークンにスコープを追加すると、ログインしているマシンのアクセス権をよりきめ細かく制御できます。 これは、CIシステム、レジストリミラー、さらにはローカルマシンにサービスアカウントなどを設定して、アクセスを許可しすぎないようにするのに最適です。 

PAT は、Docker コマンド ラインを使用するときに Docker Hub への認証にパスワードを使用する代わりに使用できます

ドッカーログイン --ユーザー名 <username>

パスワードの入力を求められたら、トークンを入力するだけです。 トークンの他の利点は、一度に複数のトークンを作成および管理できること、最後に使用されたトークンがいつであるかを確認できること、および問題が発生した場合にトークンへのアクセスを取り消すことです。 これとAPIサポートにより、トークンのローテーションを簡単に管理して、サプライチェーンのセキュリティを向上させることができます。 

Docker Hub での個人用アクセス トークンの作成と管理 

個人用アクセス トークンは、アカウント設定で作成および管理されます。

2 1

次に、セキュリティに進みます。 

3 1

ここから、次のことができます。

4 1
  • 新しいアクセス トークンを作成する
  • 既存のトークンを変更する
  • アクセストークンの削除

トークンを管理するもう 1 つの方法は、ハブ API を使用することです。 API用のSwaggerドキュメントがあり、スコープ付きトークンの新しいドキュメントはここにあります。

https://docs.docker.com/docker-hub/api/latest/#tag/access-tokens

使用可能なスコープ 

トークンを作成すると、Pro と Team プランのメンバーは 4 つのスコープにアクセスできるようになります。
読み取り、書き込み、削除: このトークンのスコープを使用すると、アクセスできるすべてのリポジトリの読み取り、書き込み、および削除を行うことができます。 (パスワード認証のようにアカウント設定を変更することはできません) 

読み取り、書き込み: このスコープは、アクセスできるリポジトリ内の読み取り/書き込み用です (Hub 上のすべてのパブリック コンテンツとプライベート コンテンツ)。 これは、リポジトリにもプッシュしているCI内で使用する種類のスコープです

読み取り専用: このスコープは、アクセスできるすべてのリポジトリに対して読み取り専用であり、リポジトリからコンテンツをプルするだけで実行できる本番環境で使用する場合に最適です/

パブリックリポジトリ読み取り専用: このスコープはパブリック コンテンツのみを読み取るためのものであり、自分やチームのリポジトリからは何も読みません。 これは、Docker HubからDockerの公式イメージや信頼できるコンテンツをプルするだけのシステムをセットアップする場合に最適です。 

これらのスコープは、Pro アカウント (5 つのトークンを取得) とチーム アカウント (各チーム メンバーに無制限のトークンを与える) 用です。 無料ユーザーは、単一の読み取り、書き込み、削除トークンを引き続き使用し、必要に応じてこれを取り消し/再発行できます。 

スコープ付きアクセス トークンは、Docker Hub への認証方法を使用して、Docker ユーザーのサプライ チェーンのセキュリティをレベルアップします。 Proプラン とTeam プランでご利用いただけますので、スコープトークンを試して、フィードバックをお寄せください。 

Docker スコープ トークンの詳細を知りたいですか? ツイッターでフォローしてください:@Docker。2021年7月22日木曜日の午前8時30分から午前9時00分(太平洋標準時)にライブTwitterスペースイベントを開催し、Dockerエンジニア、プロダクトマネージャー、Dockerキャプテンから話を聞くことができます。

フィードバックやその他のアイデアがある場合は、公開ロードマップに追加することを忘れないでください。 私たちは常にあなたが私たちに次に構築してほしいものに興味を持っています!