Povolit důvěryhodným službám zabezpečený přístup k registru kontejneru s omezeným přístupem k síti

Azure Container Registry mohou vybraným důvěryhodným službám Azure povolit přístup k registru, který je nakonfigurovaný s pravidly přístupu k síti. Pokud jsou povolené důvěryhodné služby, může instance důvěryhodné služby bezpečně obejít pravidla sítě registru a provádět operace, jako je vyžádání nebo nasdílení imagí. Tento článek vysvětluje, jak povolit a používat důvěryhodné služby s registrem kontejneru Azure s omezeným přístupem k síti.

Příklady příkazů v tomto článku spustíte pomocí azure Cloud Shell nebo místní instalace Azure CLI. Pokud ho chcete používat místně, vyžaduje se verze 2.18 nebo novější. Verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.

Omezení

• Některé scénáře přístupu k registru s důvěryhodnými službami vyžadují pro prostředky Azure spravovanou identitu. S výjimkou případů, kdy je uvedeno, že spravovaná identita přiřazená uživatelem je podporovaná, je možné použít pouze identitu přiřazenou systémem.
• Povolení důvěryhodných služeb se nevztahuje na registr kontejneru nakonfigurovaný s koncovým bodem služby. Tato funkce ovlivňuje jenom registry, které jsou omezené privátním koncovým bodem nebo které mají použitá pravidla přístupu k veřejným IP adresám.

Informace o důvěryhodných službách

Azure Container Registry má model vícevrstvého zabezpečení, který podporuje více konfigurací sítě, které omezují přístup k registru, včetně:

• Privátní koncový bod s Azure Private Link. Při konfiguraci je privátní koncový bod registru přístupný jenom pro prostředky v rámci virtuální sítě pomocí privátních IP adres.
• Pravidla brány firewall registru, která umožňují přístup k veřejnému koncovému bodu registru pouze z konkrétních veřejných IP adres nebo rozsahů adres. Bránu firewall můžete také nakonfigurovat tak, aby při používání privátních koncových bodů blokovala veškerý přístup k veřejnému koncovému bodu.

Při nasazení ve virtuální síti nebo konfiguraci s pravidly brány firewall registr odepře přístup uživatelům nebo službám mimo tyto zdroje.

Několik služeb Azure s více tenanty funguje ze sítí, které není možné zahrnout do těchto nastavení sítě registru, což jim brání v provádění operací, jako je vyžádání nebo nabízení imagí do registru. Když vlastník registru označí určité instance služby jako důvěryhodné, může vybraným prostředkům Azure povolit bezpečné obejití nastavení sítě registru za účelem provádění operací s registrem.

Důvěryhodné služby

Instance následujících služeb mají přístup k registru kontejneru s omezeným přístupem k síti, pokud je povolené nastavení registru povolit důvěryhodné služby (výchozí). Další služby budou přidány v průběhu času.

Tam, kde je uvedeno, vyžaduje přístup důvěryhodnou službou další konfiguraci spravované identity v instanci služby, přiřazení role RBAC a ověřování pomocí registru. Postup najdete například v části Pracovní postup důvěryhodných služeb dále v tomto článku.

Důvěryhodná služba	Podporované scénáře použití	Konfigurace spravované identity s rolí RBAC
Azure Container Instances	Nasazení do Azure Container Instances z Azure Container Registry pomocí spravované identity	Ano, identita přiřazená systémem nebo uživatelem
Microsoft Defender for Cloud	Kontrola ohrožení zabezpečení podle Microsoft Defender pro registry kontejnerů	No
Úlohy ACR	Přístup k nadřazenýmu registru nebo jinému registru z úlohy ACR	Yes
Machine Learning	Nasazení nebo trénování modelu v pracovním prostoru Služby Machine Learning pomocí vlastní image kontejneru Dockeru	Yes
Azure Container Registry	Import imagí do nebo z registru kontejneru Azure s omezeným přístupem k síti	No

Poznámka

Povolení nastavení Povolit důvěryhodné služby se na App Service nevztahuje.

Povolit důvěryhodné služby – ROZHRANÍ PŘÍKAZOVÉHO ŘÁDKU

Ve výchozím nastavení je nastavení Povolit důvěryhodné služby povolené v novém registru kontejneru Azure. Zakažte nebo povolte nastavení spuštěním příkazu az acr update .

Zakázání:

az acr update --name myregistry --allow-trusted-services false

Pokud chcete povolit nastavení v existujícím registru nebo registru, ve kterém už je zakázané:

az acr update --name myregistry --allow-trusted-services true

Povolit důvěryhodné služby – portál

Ve výchozím nastavení je nastavení Povolit důvěryhodné služby povolené v novém registru kontejneru Azure.

Zakázání nebo opětovné povolení nastavení na portálu:

1. Na portálu přejděte do registru kontejneru.
2. V části Nastavení vyberte Sítě.
3. V části Povolit přístup k veřejné síti vyberte Vybrané sítě nebo Zakázáno.
4. Proveďte některou z následujících akcí:
   • Pokud chcete zakázat přístup důvěryhodným službám, zrušte v části Výjimka brány firewall zaškrtnutí políčka Povolit důvěryhodným službám Microsoftu přístup k tomuto registru kontejneru.
   • Pokud chcete povolit důvěryhodné služby, zaškrtněte v části Výjimka brány firewallmožnost Povolit důvěryhodným službám Microsoftu přístup k tomuto registru kontejneru.
5. Vyberte Uložit.

Pracovní postup důvěryhodných služeb

Tady je typický pracovní postup, který umožní instanci důvěryhodné služby přístup k registru kontejneru s omezeným přístupem k síti. Tento pracovní postup je potřeba, když se spravovaná identita instance služby používá k obejití pravidel sítě registru.

1. Povolte spravovanou identitu v instanci jedné z důvěryhodných služeb pro Azure Container Registry.
2. Přiřaďte k registru identitu roli Azure . Například přiřaďte roli ACRPull pro vyžádání imagí kontejneru.
3. V registru s omezeným přístupem k síti nakonfigurujte nastavení tak, aby umožňovalo přístup důvěryhodným službám.
4. Pomocí přihlašovacích údajů identity se ověřte v registru s omezeným přístupem k síti.
5. Stáhněte si image z registru nebo proveďte jiné operace povolené rolí.

Příklad: Úlohy ACR

Následující příklad ukazuje použití ACR Tasks jako důvěryhodné služby. Podrobnosti o úloze najdete v tématu Ověřování napříč registry v úloze ACR pomocí identity spravované Azure .

1. Vytvořte nebo aktualizujte registr kontejneru Azure. Vytvořte úlohu ACR.
   • Při vytváření úlohy povolte spravovanou identitu přiřazenou systémem.
   • Zakažte výchozí režim ověřování (--auth-mode None) úlohy.
2. Přiřaďte identitě úlohy roli Azure pro přístup k registru. Přiřaďte například roli AcrPush, která má oprávnění k načítání a nabízení imagí.
3. Přidejte do úlohy přihlašovací údaje spravované identity pro registr .
4. Pokud chcete ověřit, že úloha obchází omezení sítě, zakažte veřejný přístup v registru.
5. Spusťte úlohu. Pokud jsou registr a úloha správně nakonfigurované, úloha se úspěšně spustí, protože registr umožňuje přístup.

Testování zákazu přístupu důvěryhodnými službami:

1. Pokud chcete povolit přístup důvěryhodným službám, zakažte nastavení.
2. Spusťte úlohu znovu. V tomto případě spuštění úlohy selže, protože registr již neumožňuje přístup úlohy.

Další kroky

• Pokud chcete omezit přístup k registru pomocí privátního koncového bodu ve virtuální síti, přečtěte si téma Konfigurace Azure Private Link pro registr kontejneru Azure.
• Informace o nastavení pravidel brány firewall registru najdete v tématu Konfigurace pravidel sítě veřejných IP adres.