Azure Container Registry rolí a oprávnění
Služba Azure Container Registry podporuje sadu předdefinovaných rolí Azure, které poskytují různé úrovně oprávnění ke službě Azure Container Registry. Řízení přístupu na základě role v Azure (Azure RBAC) slouží k přiřazení konkrétních oprávnění uživatelům, instančním objektům nebo jiným identitám, které potřebují komunikovat s registrem, například kvůli načítání nebo nabízení imagí kontejnerů. Můžete také definovat vlastní role s jemně odstupňovanými oprávněními k registru pro různé operace.
Role/oprávnění | Access Resource Manager | Vytvoření nebo odstranění registru | Nasdílení image | Vyžádaná image | Odstranění dat obrázku | Změna zásad | Podepsat obrázky |
---|---|---|---|---|---|---|---|
Vlastník | × | × | × | × | × | × | |
Přispěvatel | × | × | × | × | × | × | |
Čtenář | × | × | |||||
AcrPush | × | × | |||||
AcrPull | × | ||||||
AcrDelete | × | ||||||
AcrImageSigner | × |
Přiřazení rolí
Základní postup přidání přiřazení role k existujícímu uživateli, skupině, instančnímu objektu nebo spravované identitě najdete v tématu Postup přidání přiřazení role . Můžete použít Azure Portal, Azure CLI, Azure PowerShell nebo jiné nástroje Azure.
Při vytváření instančního objektu také nakonfigurujete jeho přístup a oprávnění k prostředkům Azure, jako je registr kontejneru. Ukázkový skript s využitím Azure CLI najdete v tématu Azure Container Registry ověřování pomocí instančních objektů.
Rozlišení uživatelů a služeb
Při každém použití oprávnění je osvědčeným postupem poskytnout osobě nebo službě k provedení úkolu co nejomežnější sadu oprávnění. Následující sady oprávnění představují sadu funkcí, které můžou používat lidé a bezobslužné služby.
Řešení CI/CD
Při automatizaci docker build
příkazů z řešení CI/CD potřebujete docker push
funkce. Pro tyto scénáře bezobslužných služeb doporučujeme přiřadit roli AcrPush . Tato role, na rozdíl od širší role Přispěvatel, brání účtu v provádění dalších operací s registrem nebo v přístupu k Azure Resource Manager.
Hostitelské uzly kontejneru
Podobně uzly s vašimi kontejnery potřebují roli AcrPull , ale neměly by vyžadovat funkce čtenáře .
Rozšíření Dockeru pro Visual Studio Code
Pro nástroje, jako je rozšíření Dockeru pro Visual Studio Code, se k výpisu dostupných registrů kontejnerů Azure vyžaduje další přístup poskytovatele prostředků. V takovém případě poskytněte uživatelům přístup k roli Čtenář nebo Přispěvatel . Tyto role umožňují docker pull
, docker push
, az acr list
, az acr build
a další možnosti.
Access Resource Manager
Pro správu Azure Portal a registru pomocí Azure CLI se vyžaduje přístup k Azure Resource Manager. Pokud například chcete získat seznam registrů pomocí az acr list
příkazu , potřebujete toto oprávnění nastavit.
Vytvoření a odstranění registru
Možnost vytvářet a odstraňovat registry kontejnerů Azure.
Nasdílení image
Možnost nasdílení docker push
obrázku nebo odeslání jiného podporovaného artefaktu , jako je chart Helm, do registru. Vyžaduje ověření v registru s použitím autorizované identity.
Vyžádaná image
Možnost vytvořit obrázek bez karantény nebo vyžádat docker pull
z registru jiný podporovaný artefakt , jako je chart Helm. Vyžaduje ověření v registru s použitím autorizované identity.
Odstranění dat obrázku
Možnost odstranit image kontejneru nebo jiné podporované artefakty , jako jsou charty Helm, z registru.
Změna zásad
Možnost konfigurovat zásady v registru. Mezi zásady patří mazání imagí, povolení karantény a podepisování imagí.
Podepsat obrázky
Schopnost podepisovat obrázky, obvykle přiřazené automatizovanému procesu, který by používal instanční objekt. Toto oprávnění se obvykle kombinuje s nabízenou imagí , aby bylo možné nasdílení důvěryhodné image do registru. Podrobnosti najdete v tématu Důvěryhodnost obsahu v Azure Container Registry.
Vlastní role
Stejně jako u jiných prostředků Azure můžete vytvářet vlastní role s jemně odstupňovanými oprávněními k Azure Container Registry. Pak přiřaďte vlastní role uživatelům, instančním objektům nebo jiným identitám, které potřebují pracovat s registrem.
Pokud chcete zjistit, která oprávnění se mají použít pro vlastní roli, projděte si seznam akcí Microsoft.ContainerRegistry, zkontrolujte povolené akce předdefinovaných rolí ACR nebo spusťte následující příkaz:
az provider operation show --namespace Microsoft.ContainerRegistry
Pokud chcete definovat vlastní roli, projděte si postup vytvoření vlastní role.
Poznámka
V tenantech nakonfigurovaných pomocí služby Azure Resource Manager Private Link Azure Container Registry podporuje akce se zástupnými znakůýmimi sadou, jako Microsoft.ContainerRegistry/*/read
jsou nebo Microsoft.ContainerRegistry/registries/*/write
ve vlastních rolích, a udělují tak přístup ke všem odpovídajícím akcím. V tenantovi bez privátního propojení ARM zadejte všechny požadované akce registru jednotlivě ve vlastní roli.
Příklad: Vlastní role pro import imagí
Následující kód JSON například definuje minimální akce pro vlastní roli, která umožňuje import obrázků do registru.
{
"assignableScopes": [
"/subscriptions/<optional, but you can limit the visibility to one or more subscriptions>"
],
"description": "Can import images to registry",
"Name": "AcrImport",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/push/write",
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/importImage/action"
],
"dataActions": [],
"notActions": [],
"notDataActions": []
}
],
"roleType": "CustomRole"
}
Pokud chcete vytvořit nebo aktualizovat vlastní roli pomocí popisu JSON, použijte Azure CLI, šablonu Azure Resource Manager, Azure PowerShell nebo jiné nástroje Azure. Přidání nebo odebrání přiřazení rolí pro vlastní roli stejným způsobem, jakým spravujete přiřazení rolí pro předdefinované role Azure.
Další kroky
Přečtěte si další informace o přiřazování rolí Azure identitě Azure pomocí Azure Portal, Azure CLI, Azure PowerShell nebo jiných nástrojů Azure.
Přečtěte si o možnostech ověřování pro Azure Container Registry.
Přečtěte si o povolení oprávnění s oborem úložiště v registru kontejneru.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro