تعطيل تصدير البيانات الاصطناعية من سجل حاوية Azure

لمنع مستخدمي السجل في المؤسسة من تسريب البيانات الاصطناعية بشكل ضار أو عرضي خارج الشبكة الظاهرية، يمكنك تكوين نهج التصدير الخاصة بالسجل لتعطيل عمليات التصدير.

نهج التصدير هو خاصية تم توفيرها في واجهة برمجة التطبيقات الإصدار 2021-06-01-الإصدار الأولي لسجلات الحاوية المميزة. تحظر الخاصية exportPolicy، عند تعيين حالتها إلى disabled، تصدير البيانات الاصطناعية من سجل مقيد بالشبكة عندما يحاول المستخدم:

• استيراد البيانات الاصطناعية للسجل إلى سجل حاوية Azure آخر
• إنشاء مسار تصدير السجل لنقل البيانات الاصطناعية إلى سجل حاوية آخر

ملاحظة

لا يمنع تعطيل تصدير البيانات الاصطناعية وصول المستخدمين المصرح لهم إلى السجل داخل الشبكة الظاهرية لسحب بيانات اصطناعية أو إجراء عمليات أخرى على مستوى البيانات. لمراجعة هذا الاستخدام، نوصي بتكوين إعدادات التشخيص لمراقبة عمليات السجل.

المتطلبات الأساسية

• سجل حاويات مميز تم تكوينه بنقطة نهاية خاصة.

• استخدم بيئة Bash في Azure Cloud Shell. لمزيد من المعلومات، راجع التشغيل السريع ل Bash في Azure Cloud Shell.

  

• إذا كنت تفضل تشغيل أوامر مرجع CLI محلياً قم بتثبيت CLI Azure. إذا كنت تعمل على Windows أو macOS، ففكر في تشغيل Azure CLI في حاوية Docker. لمزيد من المعلومات، راجع كيفية تشغيل Azure CLI في حاوية Docker.

  • إذا كنت تستخدم تثبيت محلي، يُرجى تسجيل الدخول إلى Azure CLI مستخدماً أمر az login. لإنهاء عملية المصادقة، التزم بالخطوات المعروضة في وحدتك الطرفية. للحصول على خيارات أخرى لتسجيل دخول، راجع تسجيل الدخول باستخدام Azure CLI.

  • عندما يُطلب منك، قم بتثبيت ملحق Azure CLI عند الاستخدام لأول مرة. لمزيد من المعلومات بشأن الامتدادات، راجع استخدام امتدادات مع Azure CLI.

  • يُرجى تشغيل إصدار az للوصول إلى الإصدار والمكتبات التابعة التي تم تثبيتها. للتحديث لآخر إصدار، يُرجى تشغيل تحديث az.

متطلبات أخرى لتعطيل عمليات التصدير

• تعطيل وصول الشبكة العامة - لتعطيل تصدير البيانات الاصطناعية، يجب أيضاً تعطيل الوصول العام إلى السجل (يجب تعيين الخاصية publicNetworkAccess للسجل إلى disabled). يمكنك تعطيل وصول الشبكة العامة إلى السجل قبل تعطيل التصدير أو تعطيله في نفس الوقت.

  بتعطيل الوصول إلى نقطة النهاية العامة للسجل، تأكد من أن عمليات السجل مسموح بها فقط داخل الشبكة الظاهرية. يحظر الوصول العام إلى السجل لسحب بيانات اصطناعية وإجراء عمليات أخرى.

• إزالة مسارات التصدير - قبل تعيين حالة السجل exportPolicy إلى disabled، احذف أي مسارات تصدير موجودة تم تكوينها على السجل. إذا تم تكوين المسار، فلا يمكنك تغيير الحالة exportPolicy.

تعطيل نهج التصدير لسجل موجود

عند إنشاء سجل، يتم تعيين الحالة exportPolicy إلى enabled بشكل افتراضي، ما يسمح بتصدير البيانات الاصطناعية. يمكنك تحديث الحالة إلى disabled باستخدام قالب ARM أو الأمر az resource update.

قالب ARM

تضمين JSON التالي لتحديث الحالة exportPolicy وتعيين الخاصية publicNetworkAccess إلى disabled. تعرف على المزيد حول نشر الموارد باستخدام قوالب ARM.

{
[...]
"resources": [
    {
    "type": "Microsoft.ContainerRegistry/registries",
    "apiVersion": "2021-06-01-preview",
    "name": "myregistry",
    [...]
    "properties": {
      "publicNetworkAccess": "disabled",
      "policies": {
        "exportPolicy": {
          "status": "disabled"
         }
      }
      }
    }
]
[...]
}

Azure CLI

تشغيل az resource update لتعيين الحالة exportPolicy في سجل موجود إلى disabled. استبدال أسماء السجل ومجموعة الموارد.

كما هو موضح في هذا المثال، عند تعطيل الخاصية exportPolicy، قم بتعيين الخاصية publicNetworkAccess أيضاً إلى disabled.

az resource update --resource-group myResourceGroup \
    --name myregistry \
    --resource-type "Microsoft.ContainerRegistry/registries" \
    --api-version "2021-06-01-preview" \
    --set "properties.policies.exportPolicy.status=disabled" \
    --set "properties.publicNetworkAccess=disabled"  

يُظهر الإخراج أن حالة نهج التصدير معطلة.

{
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.ContainerRegistry/registries/myregistry",
  "identity": null,
  "kind": null,
  "location": "centralus",
  "managedBy": null,
  "name": "myregistry",
  "plan": null,
  "properties": {
    [...]
    "policies": {
      "exportPolicy": {
        "status": "disabled"
      },
      "quarantinePolicy": {
        "status": "disabled"
      },
      "retentionPolicy": {
        "days": 7,
        "lastUpdatedTime": "2021-07-20T23:20:30.9985256+00:00",
        "status": "disabled"
      },
      "trustPolicy": {
        "status": "disabled",
        "type": "Notary"
      },
    "privateEndpointConnections": [],
    "provisioningState": "Succeeded",
    "publicNetworkAccess": "Disabled",
    "zoneRedundancy": "Disabled"
[...]
}

تمكين نهج التصدير

بعد تعطيل الحالة exportPolicy في السجل، يمكنك إعادة تمكينها في أي وقت باستخدام قالب ARM أو الأمر az resource update.

قالب ARM

تضمين JSON التالي لتحديث الحالة exportPolicy إلى enabled. تعرف على المزيد حول نشر الموارد باستخدام قوالب ARM

{
[...]
"resources": [
    {
    "type": "Microsoft.ContainerRegistry/registries",
    "apiVersion": "2021-06-01-preview",
    "name": "myregistry",
    [...]
    "properties": {
     "policies": {
        "exportPolicy": {
          "status": "enabled"
         }
      }
      }
    }
]
[...]
}

Azure CLI

تشغيل az resource update لتعيين الحالة exportPolicy إلى enabled. استبدال أسماء السجل ومجموعة الموارد.

az resource update --resource-group myResourceGroup \
    --name myregistry \
    --resource-type "Microsoft.ContainerRegistry/registries" \
    --api-version "2021-06-01-preview" \
    --set "properties.policies.exportPolicy.status=enabled"

الخطوات التالية

• تعرف على أذونات سجل حاويات Azure وأدوارها.
• إذا كنت تريد منع الحذف غير المقصود لبيانات السجل الاصطناعية، فراجع تأمين صور الحاوية.
• تعرف على نُهج Azure المضمنة لتأمين سجل حاوية Azure