Přehled oprávnění a přiřazení rolí ve službě Microsoft Entra pro Azure Container Registry

Azure Container Registry (ACR) nabízí sadu předdefinovaných rolí , které poskytují správu oprávnění založených na Microsoft Entra pro registr ACR.

Pomocí řízení přístupu na základě role v Azure (RBAC) můžete uživatelům, spravovaným identitám nebo instančním objektům přiřadit předdefinovaná role a udělit tak oprávnění na základě Microsoft Entra definovaná v rámci této role.

Pokud předdefinované role nevyhovují vašim požadavkům, můžete také definovat a přiřadit vlastní role s jemně odstupňovanými oprávněními přizpůsobenými vašim konkrétním potřebám.

Podporované typy identit přiřazení rolí

Role ACR můžete přiřadit následujícím typům identit, abyste udělili oprávnění registru:

• Identita jednotlivých uživatelů
• Spravovaná identita pro prostředky Azure
  • Azure DevOps – Identita Azure Pipelines
  • Identita kubeletu uzlu Azure Kubernetes Service (AKS) umožňuje uzlu AKS načítat image z ACR. ACR podporuje přiřazení rolí jak pro identitu kubeletu spravovanou AKS, tak pro identitu kubeletu předem vytvořenou pro AKS, aby uzly AKS mohly stahovat imagi z ACR.
  • Identita Azure Container Apps
  • Identita služby Azure Container Instances
  • Identita pracovního prostoru Služby Azure Machine Learning
  • Identita kubeletu uzlu clusteru Kubernetes připojená ke službě Azure Machine Learning , která umožňuje uzlům clusteru Kubernetes načítat image z ACR.
  • Online identita koncového bodu služby Azure Machine Learning
  • Identita služby Azure App Service
  • Identita Azure Web Apps
  • Identita služby Azure Batch
  • Identita Azure Functions
• Služba principal
  • Instanční objekt clusteru AKS , který umožňuje uzlům AKS načíst image z ACR. ACR také podporuje ověřování mezi tenanty pro uzly AKS vůči ACR prostřednictvím přiřazení rolí a ověřování služebního principálu mezi tenanty.
  • Hlavní identita služby Azure Container Instance
  • Hybridní nebo lokální clustery AKS ve službě Azure Stack Hub s využitím principálu služby

Poznámka:

Připojené registry nepodporují přiřazení rolí Azure ani správu oprávnění založených na Microsoft Entra.

Proveďte přiřazení rolí k udělení oprávnění

Abyste mohli provádět přiřazení rolí, musíte mít Owner roli nebo Role Based Access Control Administrator roli v registru. Přiřazení rolí můžete provádět pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.

Podrobnosti o přiřazení role identitě naleznete v tématu Postup přidání přiřazení role.

Určení rozsahu přiřazení rolí konkrétním úložištím

Ke správě oprávnění úložiště založeného na microsoft Entra použijte řízení přístupu na základě atributů Microsoft Entra (ABAC). Tato funkce umožňuje nastavit rozsah přiřazení rolí na konkrétní úložiště v registru.

Přehled oprávnění úložiště Microsoft Entra ABAC, včetně předdefinovaných rolí ACR, které podporují podmínky Microsoft Entra ABAC, najdete v tématu Oprávnění úložiště založená na Microsoft Entra.

Případně najdete referenční informace k adresáři rolí služby Azure Container Registry pro seznam předdefinovaných rolí, které podporují podmínky Microsoft Entra ABAC.

Doporučené předdefinované role podle scénáře

Použijte zásadu nejnižšího oprávnění přiřazením pouze oprávnění potřebných k tomu, aby identita prováděla zamýšlenou funkci.

Příslušné předdefinované role a chování rolí závisí na režimu oprávnění k přiřazení rolí registru:

• RBAC Registry + Oprávnění úložiště ABAC: Podporuje standardní přiřazení rolí RBAC s volitelnými podmínkami Microsoft Entra ABAC. k určení rozsahu přiřazení ke konkrétním úložištím.
• Oprávnění registru RBAC: Podporují pouze standardní přiřazení RBAC bez podmínek ABAC.

Pokud chcete toto nastavení zobrazit na webu Azure Portal, přejděte do svého registru a v nabídce služby vyberte Vlastnosti v části Nastavení .

Následující seznam popisuje běžné scénáře registru kontejnerů a jejich doporučené role v závislosti na režimu přiřazení rolí registru.

Registry nakonfigurované pomocí registru RBAC + oprávnění úložiště ABAC

• Scénář: Identity, které potřebují stahovat image a ověřovat artefakty dodavatelského řetězce, jako jsou vývojáři, kanály CI/CD a orchestrátory nasazení kontejnerů (Azure Kubernetes Service, Azure Container Apps, Azure Container Instances, pracovní prostory služby Azure Machine Learning)

  • Roli: Container Registry Repository Reader
  • Účel: Uděluje přístup k načtení imagí a artefaktů jen pro čtení, zobrazení značek, úložišť, refererů Open Container Initiative (OCI) a konfigurací streamování artefaktů. Neobsahuje žádná oprávnění k řídicí rovině ani oprávnění k zápisu. Neuděluje oprávnění pro zobrazení katalogu úložiště k výpisu jakýchkoli úložišť v registru.
  • Podpora ABAC: Tato role podporuje volitelné podmínky Microsoft Entra ABAC pro určení rozsahu přiřazení rolí konkrétním úložištím v registru.

• Scénář: Identity, jako jsou kanály sestavení CI/CD a vývojáři, kteří vytvářejí a nasdílí image, a také spravují značky imagí.

  • Roli: Container Registry Repository Writer
  • Oprávnění: Uděluje přístup datové rovině k použití, vyžádání a aktualizaci (ale ne k odstranění) obrazů a artefaktů, ke čtení a správě značek, čtení a správě odkazovačů OCI a umožnění (ale ne zakázání) streamování artefaktů pro úložiště a obrazy. Nezahrnuje žádná oprávnění řídicí roviny. Neuděluje oprávnění pro zobrazení katalogu úložiště k výpisu jakýchkoli úložišť v registru.
  • Podpora ABAC: Tato role podporuje volitelné podmínky Microsoft Entra ABAC pro určení rozsahu přiřazení rolí konkrétním úložištím v registru.

• Scénář: Identity, které potřebují odstranit obrázky, artefakty, tagy a odkazy OCI

  • Roli: Container Registry Repository Contributor
  • Oprávnění: Uděluje oprávnění ke čtení, zápisu, aktualizaci a odstraňování obrázků a artefaktů, ke čtení, správě, odstraňování značek, čtení, správě nebo odstraňování refererů OCI a povolení/zakázání streamování artefaktů pro úložiště a obrázky. Nezahrnuje žádná oprávnění řídicí roviny. Neuděluje oprávnění pro zobrazení katalogu úložiště k výpisu jakýchkoli úložišť v registru.
  • Podpora ABAC: Tato role podporuje volitelné podmínky Microsoft Entra ABAC pro určení rozsahu přiřazení rolí konkrétním úložištím v registru.

• Scénář: Identita, která potřebuje vypsat všechna úložiště v registru

  • Roli: Container Registry Repository Catalog Lister
  • Oprávnění: Uděluje oprávnění na úrovni datové roviny pro vypsání všech úložišť v registru, včetně použití koncových bodů rozhraní API registru {loginServerURL}/acr/v1/_catalog nebo {loginServerURL}/v2/_catalog. Nezahrnuje žádná oprávnění pro řídicí kontrolní vrstvu nebo oprávnění pro nahrávání/stahování obrázků.
  • Podpora ABAC: Tato role nepodporuje podmínky Microsoft Entra ABAC. Toto přiřazení role uděluje oprávnění k výpisu všech úložišť v registru.

• Scénář: Pipeliny, identity a vývojáři, kteří podepisují soubory

  • Podepisování obrazů pomocí refererů OCI, jako je Notární Projekt:
    • Roli: Container Registry Repository Writer
    • Oprávnění: Uděluje přístup k rovině dat pro zasílání podpisů ve formě OCI odkazů připojených k obrázkům a artefaktům. Nezahrnuje žádná oprávnění řídicí roviny.
    • Podpora ABAC: Tato role podporuje volitelné podmínky Microsoft Entra ABAC pro určení rozsahu přiřazení rolí konkrétním úložištím v registru.
  • Podepisování imagí pomocí Docker Content Trustu (DCT):
    • Podepisování obrazů pomocí DCT pro registry s podporou ABAC není podporováno.

• Scénář: Vývojáři a skripty příkazového řádku, které používají az rozhraní příkazového řádku k ověřování a přihlášení k registru (pomocí az acr login příkazu), a také ke spouštění dalších az příkazů řídicí roviny rozhraní příkazového řádku v registru. Mějte na paměti, že identity, které potřebují pouze oprávnění ke stažení, nahrání nebo odstranění image, následující roli nepotřebují. Tento scénář se výhradně týká objasnění role, která uděluje oprávnění k povolení spouštění az rozhraní příkazového řádku v registru, včetně az acr login dalších az příkazů řídicí roviny rozhraní příkazového řádku v registru. Tato role také uděluje oprávnění k vytváření, aktualizaci nebo odstraňování registrů ACR a také oprávnění řídicí roviny ke správě konfigurace registru. Tato role neuděluje oprávnění v datové rovině ke stažení, nahrání nebo odstranění bitových kopií; ta udělují samostatné role datové roviny.

  • Roli: Container Registry Contributor and Data Access Configuration Administrator
  • Podpora ABAC: Tato role nepodporuje podmínky ABAC ve službě Microsoft Entra, protože má rozsah na úrovni registru a uděluje oprávnění k ověřování vůči registru pomocí rozhraní příkazového řádku az (prostřednictvím příkazu az acr login) a ke správě nastavení a konfigurací roviny řízení pro celý registr.

• Scénář: Kanály, identity a vývojáři, kteří potřebují vytvářet, aktualizovat nebo odstraňovat registry ACR

  • Roli: Container Registry Contributor and Data Access Configuration Administrator
  • Dovolení:
    • Uděluje přístup řídicí roviny k vytváření, konfiguraci, správě a odstraňování registrů, včetně:
      • ověřit a přihlásit se k registru pomocí rozhraní příkazového řádku az příkazem az acr login. Všimněte si, az acr login že v registru s podporou ABAC je operace s touto rolí úspěšná, identitě však stále nejsou přidělena žádná oprávnění k operacím v datové rovině (pull, push, delete), pokud zároveň nemá přiřazenou roli datové roviny kompatibilní s ABAC.
      • Spusťte další az příkazy řídicí roviny rozhraní příkazového řádku v registru, který čte, aktualizuje nebo odstraní konfiguraci roviny řízení registru (mějte na paměti, že tato role neuděluje oprávnění roviny dat potřebná ke spuštění určitých az příkazů rozhraní příkazového řádku).
      • konfigurace skladových položek registru
      • nastavení přístupu k ověřování (přihlašovací údaje uživatele správce, anonymní stažení, oprávnění úložiště založeného na tokenech ne-Microsoft Entra a cílová skupina tokenů pro ověřování Microsoft Entra jako arm)
      • konfigurace (geografická replikace),
      • místní funkce (připojené registry),
      • koncové body registru (vyhrazené koncové body dat)
      • přístup k síti (nastavení privátního propojení a privátního koncového bodu, přístup k veřejné síti, obejití důvěryhodných služeb, pravidla brány firewall sítě a koncové body služby virtuální sítě)
      • zásady registru (zásady uchovávání informací, povolení karantény na úrovni registru, povolení měkkého odstranění a zásady pro export exfiltrace dat)
      • nastavení diagnostiky a monitorování (nastavení diagnostiky, protokoly, metriky, webhooky pro registry a geografické replikace a Event Grid)
      • správa spravované identity přiřazené systémem registru
    • Poznámka: Tato role uděluje oprávnění k odstranění samotného registru.
    • Poznámka: Tato role nezahrnuje operace datové roviny (například nahrávání a stahování image), možnosti přiřazení rolí nebo úlohy ACR.
    • Poznámka: Aby bylo možné spravovat uživatelsky přiřazenou spravovanou identitu registru, musí mít i daný uživatel přiřazenou roli Managed Identity Operator.
  • Podpora ABAC: Tato role nepodporuje podmínky Microsoft Entra ABAC, protože tato role je vymezena na úrovni registru a uděluje oprávnění ke správě nastavení a konfigurací řídicí roviny pro celý registr.

• Scénář: Potrubí, inženýři infrastruktury nebo nástroje pro pozorovatelnost/monitorování řídicího plánu, které potřebují vypsat registry a zobrazit konfigurace registru, ale ne přístup k obrazům registru

  • Roli: Container Registry Configuration Reader and Data Access Configuration Reader
  • Oprávnění: Protějšek role ve verzi pouze pro Container Registry Contributor and Data Access Configuration Administrator čtení. Uděluje přístup řídicí roviny k zobrazení a výpisu registrů a kontrole konfigurací registru, ale ne k jejich úpravám. Nezahrnuje operace datové roviny (například nahrávání/stahování image) ani funkce přiřazení rolí.
  • Podpora ABAC: Tato role nepodporuje podmínky Microsoft Entra ABAC, protože tato role je vymezena na úrovni registru a uděluje oprávnění ke čtení nastavení roviny řízení a konfigurace pro celý registr.

• Scénář: Skenery zranitelností a nástroje pro audit registrů a jejich konfigurací, stejně jako přístup k obrazům registru, aby je skenovaly pro zranitelnosti

  • Role: Container Registry Repository Reader, Container Registry Repository Catalog Lister a Container Registry Configuration Reader and Data Access Configuration Reader
  • Oprávnění: Uděluje přístup k zobrazení a zobrazení seznamu registrů ACR a ke kontrole konfigurací registru pro dodržování předpisů a kontrolu shody. Uděluje také oprávnění k vyžádání obrázků, artefaktů a zobrazení značek ke skenování a analýze zranitelností obrázků.
  • Podpora ABAC: ACR doporučuje, aby nástroje pro detekci zranitelností a monitorovací nástroje měly plný přístup k datové vrstvě ke všem úložištím v registru. Proto tyto role přiřaďte bez podmínek Microsoft Entra ABAC, abyste přiřadili oprávnění k rolím bez omezení na konkrétní úložiště.

• Scénář: Kanály a identity, které orchestrují úlohy ACR

  • Roli: Container Registry Tasks Contributor
  • Oprávnění: Správa úloh ACR, včetně definic úloh a spuštění úloh, fondů agentů úloh, rychlých sestavení s az acr build a rychlých spuštění s az acr run a protokolů úloh. Nezahrnuje oprávnění datové roviny ani širší konfiguraci registru.
  • Poznámka: Aby bylo možné plně spravovat identity úkolů, musí mít přiřazený roli Managed Identity Operator.
  • Podpora ABAC: Tato role nepodporuje podmínky Microsoft Entra ABAC, protože role je vymezena na úrovni registru a uděluje oprávnění ke správě všech úloh ACR v registru.

• Scénář: Identity, jako jsou datové kanály a vývojáři, kteří importují obrázky s využitím az acr import

  • Roli: Container Registry Data Importer and Data Reader
  • Oprávnění: Udělí řídicí rovině přístup k aktivaci importu obrázků pomocí az acr importa přístup roviny dat k ověření úspěšnosti importu (načtení importovaných imagí a artefaktů, zobrazení obsahu úložiště, výpisu refererů OCI a kontrole importovaných značek). Nepovoluje nabízení ani úpravy žádného obsahu v registru.
  • Podpora ABAC: Tato role nepodporuje podmínky Microsoft Entra ABAC, protože role je vymezena na úrovni registru a uděluje oprávnění k importu imagí do libovolného úložiště v registru. Uděluje také oprávnění ke čtení imagí ve všech úložištích v registru.

• Scénář: Identity, jako jsou kanály a vývojáři, které spravují kanály přenosu ACR pro přenos artefaktů mezi registry pomocí zprostředkujících účtů úložiště napříč sítěmi, tenanty nebo vzduchovými bariérami

  • Roli: Container Registry Transfer Pipeline Contributor
  • Oprávnění: Uděluje přístup řídicí roviny ke správě importních a exportních transferových potrubí a průběhů potrubí ACR za použití prostředních účtů úložiště. Nezahrnuje oprávnění roviny dat, širší přístup k registru nebo oprávnění ke správě jiných typů prostředků Azure, jako jsou účty úložiště nebo trezory klíčů.
  • Podpora ABAC: Tato role nepodporuje podmínky Microsoft Entra ABAC, protože role je vymezena na úrovni registru a uděluje oprávnění ke správě všech kanálů přenosu ACR v registru.

• Scénář: Správa imagí v karanténě

  • Role: AcrQuarantineReader a AcrQuarantineWriter
  • Oprávnění: Správa imagí v karanténě v záznamu, včetně výpisu a stažení imagí v karanténě pro další kontrolu a úpravu stavu jejich karantény. Obrázky v karanténě jsou omezené obrázky, které nelze načíst ani použít, dokud nejsou vyjmuté z karantény.
  • Podpora ABAC: Tato role nepodporuje podmínky Microsoft Entra ABAC, protože role je vymezena na úrovni registru a uděluje oprávnění ke správě všech obrazů v karanténě v registru.

• Scénář: Vývojáři nebo procesy, které v úlohách ACR nakonfigurují automatické vymazání registru

  • Roli: Container Registry Tasks Contributor
  • Oprávnění: Uděluje oprávnění řídicí roviny ke správě automatického vyprázdnění, která se spouští na úlohách ACR.
  • Podpora ABAC: Tato role nepodporuje podmínky Microsoft Entra ABAC, protože role je vymezena na úrovni registru a uděluje oprávnění ke správě všech úloh ACR v registru.

• Scénář: Uživatelé rozšíření Docker pro Visual Studio Code

  • Role: Container Registry Repository Writer, Container Registry Tasks Contributor a Container Registry Contributor and Data Access Configuration Administrator
  • Oprávnění: Uděluje schopnosti procházet registry, stahovat a nahrávat obrazy a vytvářet obrazy pomocí az acr build, čímž jsou podporovány běžné pracovní postupy vývojáře ve Visual Studio Code.
  • Podpora ABAC: ACR doporučuje, aby uživatelé Visual Studio Code měli plný přístup k datové rovině ke všem úložištím v registru. Proto tyto role přiřaďte bez podmínek Microsoft Entra ABAC, abyste přiřadili oprávnění k rolím bez omezení na konkrétní úložiště.

Registry nakonfigurované s oprávněními registru RBAC

• Scénář: Identity, které potřebují načítat obrazy a ověřovat artefakty dodavatelského řetězce, jako jsou vývojáři, kanály a orchestrátory kontejnerů (například identita kubeletu uzlu Azure Kubernetes Service, Azure Container Apps, Azure Container Instances, pracovní prostory Azure Machine Learning)

  • Roli: AcrPull
  • Účel: Uděluje přístup k načtení imagí a artefaktů jen pro čtení, zobrazení značek, úložišť, refererů Open Container Initiative (OCI) a konfigurací streamování artefaktů. Neobsahuje žádná oprávnění k řídicí rovině ani oprávnění k zápisu.

• Scénář: Identity, jako jsou kanály sestavení CI/CD a vývojáři, kteří vytvářejí a nasdílí image, a také spravují značky imagí.

  • Roli: AcrPush
  • Oprávnění: Uděluje přístup roviny dat k nasdílení a načítání imagí a artefaktů, správě značek, práci s referenčními správci OCI a konfiguraci streamování artefaktů pro úložiště a image. Nezahrnuje žádná oprávnění řídicí roviny.

• Scénář: Pipeliny, identity a vývojáři, kteří podepisují soubory

  • Podepisování obrazů pomocí refererů OCI, jako je Notární Projekt:
    • Roli: AcrPush
    • Oprávnění: Uděluje přístup k rovině dat pro zasílání podpisů ve formě OCI odkazů připojených k obrázkům a artefaktům. Nezahrnuje žádná oprávnění řídicí roviny.
  • Podepisování imagí pomocí Docker Content Trustu (DCT):
    • Roli: AcrImageSigner
    • Oprávnění: Podepisování imagí v registru pomocí Docker Content Trust (DCT)
    • Poznámka: Důvěryhodnost obsahu Dockeru je zastaralá.

• Scénář: Vývojáři a skripty příkazového řádku, které používají az rozhraní příkazového řádku k ověřování a přihlášení k registru (pomocí az acr login příkazu), a také ke spouštění dalších az příkazů řídicí roviny rozhraní příkazového řádku v registru. Mějte na paměti, že identity, které potřebují pouze oprávnění ke stažení, nahrání nebo odstranění image, následující roli nepotřebují. Tento scénář se výhradně týká objasnění role, která uděluje oprávnění k povolení spouštění az rozhraní příkazového řádku v registru, včetně az acr login dalších az příkazů řídicí roviny rozhraní příkazového řádku v registru. Tato role také uděluje oprávnění k vytváření, aktualizaci nebo odstraňování registrů ACR a také oprávnění řídicí roviny ke správě konfigurace registru. Tato role neuděluje oprávnění v rovině dat pro stahování, nahrávání ani odstraňování bitových kopií; ta jsou udělována samostatnými rolemi roviny dat.

  • Roli: Container Registry Contributor and Data Access Configuration Administrator

• Scénář: Kanály, identity a vývojáři, kteří potřebují vytvářet, aktualizovat nebo odstraňovat registry ACR

  • Roli: Container Registry Contributor and Data Access Configuration Administrator
  • Dovolení:
    • Uděluje přístup řídicí roviny k vytváření, konfiguraci, správě a odstraňování registrů, včetně:
      • ověřit a přihlásit se k registru pomocí rozhraní az CLI pomocí příkazu az acr login
      • Spusťte další az příkazy řídicí roviny rozhraní příkazového řádku v registru, který čte, aktualizuje nebo odstraní konfiguraci roviny řízení registru (mějte na paměti, že tato role neuděluje oprávnění roviny dat potřebná ke spuštění určitých az příkazů rozhraní příkazového řádku).
      • konfigurace skladových položek registru
      • nastavení přístupu k ověřování (přihlašovací údaje uživatele správce, anonymní stažení, oprávnění úložiště založeného na tokenech ne-Microsoft Entra a cílová skupina tokenů pro ověřování Microsoft Entra jako arm)
      • konfigurace (geografická replikace),
      • místní funkce (připojené registry),
      • koncové body registru (vyhrazené koncové body dat)
      • přístup k síti (nastavení privátního propojení a privátního koncového bodu, přístup k veřejné síti, obejití důvěryhodných služeb, pravidla brány firewall sítě a koncové body služby virtuální sítě)
      • zásady registru (zásady uchovávání informací, povolení karantény na úrovni registru, povolení měkkého odstranění a zásady pro export exfiltrace dat)
      • nastavení diagnostiky a monitorování (nastavení diagnostiky, protokoly, metriky, webhooky pro registry a geografické replikace a Event Grid)
      • správa spravované identity přiřazené systémem registru
    • Poznámka: Tato role uděluje oprávnění k odstranění samotného registru.
    • Poznámka: Tato role nezahrnuje operace datové roviny (například nahrávání a stahování image), možnosti přiřazení rolí nebo úlohy ACR.
    • Poznámka: Aby bylo možné spravovat uživatelsky přiřazenou spravovanou identitu registru, musí mít i daný uživatel přiřazenou roli Managed Identity Operator.

• Scénář: Potrubí, inženýři infrastruktury nebo nástroje pro pozorovatelnost/monitorování řídicího plánu, které potřebují vypsat registry a zobrazit konfigurace registru, ale ne přístup k obrazům registru

  • Roli: Container Registry Configuration Reader and Data Access Configuration Reader
  • Oprávnění: Protějšek role ve verzi pouze pro Container Registry Contributor and Data Access Configuration Administrator čtení. Uděluje přístup řídicí roviny k zobrazení a výpisu registrů a kontrole konfigurací registru, ale ne k jejich úpravám. Nezahrnuje operace datové roviny (například nahrávání/stahování image) ani funkce přiřazení rolí.

• Scénář: Skenery zranitelností a nástroje pro audit registrů a jejich konfigurací, stejně jako přístup k obrazům registru, aby je skenovaly pro zranitelnosti

  • Role: AcrPull a Container Registry Configuration Reader and Data Access Configuration Reader
  • Oprávnění: Uděluje přístup k zobrazení a zobrazení seznamu registrů ACR a ke kontrole konfigurací registru pro dodržování předpisů a kontrolu shody. Uděluje také oprávnění k vyžádání obrázků, artefaktů a zobrazení značek ke skenování a analýze zranitelností obrázků.

• Scénář: Kanály a identity, které orchestrují úlohy ACR

  • Roli: Container Registry Tasks Contributor
  • Oprávnění: Správa úloh ACR, včetně definic úloh a spuštění úloh, fondů agentů úloh, rychlých sestavení s az acr build a rychlých spuštění s az acr run a protokolů úloh. Nezahrnuje oprávnění datové roviny ani širší konfiguraci registru.
  • Poznámka: Aby bylo možné plně spravovat identity úkolů, musí mít přiřazený roli Managed Identity Operator.

• Scénář: Identity, jako jsou datové kanály a vývojáři, kteří importují obrázky s využitím az acr import

  • Roli: Container Registry Data Importer and Data Reader
  • Oprávnění: Udělí řídicí rovině přístup k aktivaci importu obrázků pomocí az acr importa přístup roviny dat k ověření úspěšnosti importu (načtení importovaných imagí a artefaktů, zobrazení obsahu úložiště, výpisu refererů OCI a kontrole importovaných značek). Nepovoluje nabízení ani úpravy žádného obsahu v registru.

• Scénář: Identity, jako jsou kanály a vývojáři, které spravují kanály přenosu ACR pro přenos artefaktů mezi registry pomocí zprostředkujících účtů úložiště napříč sítěmi, tenanty nebo vzduchovými bariérami

  • Roli: Container Registry Transfer Pipeline Contributor
  • Oprávnění: Uděluje přístup řídicí roviny ke správě importních a exportních transferových potrubí a průběhů potrubí ACR za použití prostředních účtů úložiště. Nezahrnuje oprávnění roviny dat, širší přístup k registru nebo oprávnění ke správě jiných typů prostředků Azure, jako jsou účty úložiště nebo trezory klíčů.

• Scénář: Správa imagí v karanténě

  • Role: AcrQuarantineReader a AcrQuarantineWriter
  • Oprávnění: Správa imagí v karanténě v záznamu, včetně výpisu a stažení imagí v karanténě pro další kontrolu a úpravu stavu jejich karantény. Obrázky v karanténě jsou omezené obrázky, které nelze načíst ani použít, dokud nejsou vyjmuté z karantény.

• Scénář: Odstranění obrázků, artefaktů, značek a refererů OCI

  • Roli: AcrDelete
  • Oprávnění: Poskytuje oprávnění k odstranění artefaktů a značek napříč všemi úložišti v registru. Tato role neuděluje oprávnění k odstranění samotného registru.

• Scénář: Vývojáři nebo procesy, které v úlohách ACR nakonfigurují automatické vymazání registru

  • Roli: Container Registry Tasks Contributor
  • Oprávnění: Uděluje oprávnění řídicí roviny ke správě automatického vyprázdnění, která se spouští na úlohách ACR.

• Scénář: Uživatelé rozšíření Docker pro Visual Studio Code

  • Role: AcrPush, Container Registry Tasks Contributor a Container Registry Contributor and Data Access Configuration Administrator
  • Oprávnění: Uděluje schopnosti procházet registry, stahovat a nahrávat obrazy a vytvářet obrazy pomocí az acr build, čímž jsou podporovány běžné pracovní postupy vývojáře ve Visual Studio Code.

Další kroky

• Pokud chcete provádět přiřazení rolí s volitelnými podmínkami Microsoft Entra ABAC pro určení rozsahu přiřazení rolí na konkrétní úložiště, přečtěte si o oprávněních úložiště založených na Microsoft Entra.
• Podrobné informace o každé předdefinované roli ACR, včetně oprávnění udělených jednotlivými rolemi, najdete v referenčních informacích k adresáři rolí služby Azure Container Registry.
• Další informace o vytváření vlastních rolí, které vyhovují vašim konkrétním potřebám a požadavkům, najdete v tématu Vlastní role služby Azure Container Registry.