تعطيل المصادقة كقالب ARM
يتم استخدام الرموز المميزة ل Azure AD عند مصادقة مستخدمي السجل باستخدام ACR. بشكل افتراضي، يقبل Azure Container Registry (ACR) رموز Azure AD المميزة مع مجموعة نطاق جمهور ل Azure Resource Manager (ARM)، وهي طبقة إدارة وحدة تحكم لإدارة موارد Azure.
من خلال تعطيل الرموز المميزة لجمهور ARM وفرض الرموز المميزة لجمهور ACR، يمكنك تحسين أمان سجلات الحاويات أثناء عملية المصادقة عن طريق تضييق نطاق الرموز المميزة المقبولة.
مع فرض الرمز المميز لجمهور ACR، سيتم قبول رموز Azure AD المميزة فقط مع نطاق جمهور معين خصيصا ل ACR أثناء مصادقة التسجيل وعملية تسجيل الدخول. وهذا يعني أن الرموز المميزة لجمهور ARM المقبولة مسبقا لن تكون صالحة لمصادقة السجل، وبالتالي تعزيز أمان سجلات الحاويات الخاصة بك.
في هذا البرنامج التعليمي، تتعلم كيفية:
- تعطيل المصادقة كذرذر في ACR - Azure CLI.
- تعطيل المصادقة كذرذر في مدخل ACR - Azure.
المتطلبات الأساسية
- تثبيت أو ترقية Azure CLI الإصدار 2.40.0 أو أحدث. للعثور على الإصدار، قم بتشغيل
az --version
. - قم بتسجيل الدخول إلى بوابة Azure.
تعطيل المصادقة كذرذر في ACR - Azure CLI
سيؤدي تعطيل azureADAuthenticationAsArmPolicy
إلى إجبار السجل على استخدام الرمز المميز لجمهور ACR. يمكنك استخدام الإصدار 2.40.0 من Azure CLI أو أحدث، وتشغيل az --version
للعثور على الإصدار.
قم بتشغيل الأمر لإظهار التكوين الحالي لنهج السجل للمصادقة باستخدام رموز ARM المميزة مع السجل. إذا كانت الحالة هي
enabled
، فيمكن استخدام كل من ACRs ورمز جمهور ARM للمصادقة. إذا كانت الحالة هيdisabled
، فهذا يعني أنه يمكن استخدام الرموز المميزة للجمهور ACR فقط للمصادقة.az acr config authentication-as-arm show -r <registry>
قم بتشغيل الأمر لتحديث حالة نهج السجل.
az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]
تعطيل المصادقة كجهاز في مدخل ACR - Azure
سيؤدي تعطيل الخاصية authentication-as-arm
عن طريق تعيين نهج مضمن إلى تعطيل خاصية التسجيل للسجلات الحالية والمستقبلية تلقائيا. هذا السلوك التلقائي هو للسجلات التي تم إنشاؤها ضمن نطاق النهج. تتضمن نطاقات النهج المحتملة إما نطاق مستوى مجموعة الموارد أو نطاق مستوى معرف الاشتراك داخل المستأجر.
يمكنك تعطيل المصادقة كذرذر في ACR، باتباع الخطوات التالية:
قم بتسجيل الدخول إلى بوابة Azure.
راجع تعريفات النهج المضمنة ل ACR في تعريف azure-container-registry-built-in-policy.
تعيين نهج مضمن لتعطيل تعريف المصادقة كجهاز - مدخل Microsoft Azure.
تعيين تعريف نهج مضمن لتعطيل مصادقة الرمز المميز لجمهور ARM - مدخل Microsoft Azure.
يمكنك تمكين نهج الوصول المشروط للسجل في مدخل Microsoft Azure.
يحتوي Azure Container Registry على تعريفين مضمنين للنهج لتعطيل المصادقة كذرذر، كما يلي:
Container registries should have ARM audience token authentication disabled.
- سيقوم هذا النهج بالإبلاغ عن أي موارد غير متوافقة، وحظرها، وإرسال طلب أيضا لتحديث غير متوافق إلى متوافق.Configure container registries to disable ARM audience token authentication.
- يوفر هذا النهج المعالجة ويحدث الموارد المتوافقة مع الموارد المتوافقة.قم بتسجيل الدخول إلى بوابة Azure.
انتقل إلى مجموعة> موارد Azure Container Registry>الإعدادات> Policies .
انتقل إلى نهج Azure، في التعيينات، حدد تعيين نهج.
ضمن تعيين النهج ، استخدم عوامل التصفية للبحث والعثور على النطاق، وتعريف النهج، واسم التعيين.
حدد النطاق لتصفية الاشتراك ومجموعة الموارد والبحث عنهما واختر تحديد.
حدد Policy definition لتصفية تعريفات النهج المضمنة والبحث فيها عن نهج الوصول المشروط.
استخدم عوامل التصفية لتحديد النطاق وتعريف النهج واسم التعيين وتأكيدهما.
استخدم عوامل التصفية للحد من حالات الامتثال أو للبحث عن السياسات.
قم بتأكيد الإعدادات الخاصة بك وتعيين فرض النهج على أنه ممكن.
حدد "مراجعة + إنشاء".