Zulassen des sicheren Zugriffs vertrauenswürdiger Dienste auf eine Containerregistrierung mit Netzwerkeinschränkungen

Mit Azure Container Registry können Sie ausgewählten vertrauenswürdigen Azure-Diensten den Zugriff auf eine Registrierung gewähren, die mit Netzwerkzugriffsregeln konfiguriert ist. Wenn vertrauenswürdige Dienste zulässig sind, kann eine vertrauenswürdige Dienstinstanz die Netzwerkregeln der Registrierung sicher umgehen und Vorgänge ausführen wie Pull oder Push von Images. In diesem Artikel wird erklärt, wie Sie vertrauenswürdige Dienste mit einer Azure Containerregistrierung mit einer Netzwerkeinschränkung aktivieren und verwenden.

Verwenden Sie Azure Cloud Shell oder eine lokale Installation der Azure CLI, um die Beispielbefehle in diesem Artikel auszuführen. Wenn Sie sie lokal verwenden möchten, ist die Version 2.18 oder höher erforderlich. Führen Sie az --version aus, um die Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.

Einschränkungen

• Bestimmte Registrierungszugriffsszenarien mit vertrauenswürdigen Diensten erfordern eine verwaltete Identität für Azure-Ressourcen. Sofern nicht erwähnt, dass eine benutzerseitig zugewiesene verwaltete Identität unterstützt wird, kann nur eine systemseitig zugewiesene Identität verwendet werden.
• Das Zulassen von vertrauenswürdigen Diensten gilt nicht für eine Containerregistrierung, die mit einem Dienstendpunkt konfiguriert ist. Die Funktion wirkt sich nur auf Registrierungen aus, die durch einen privaten Endpunkt eingeschränkt sind, oder auf die Zugriffsregeln für öffentliche IP-Adressen angewendet sind.

Informationen zu vertrauenswürdigen Diensten

Azure Container Registry verfügt über ein mehrstufiges Sicherheitsmodell, das mehrere Netzwerkkonfigurationen unterstützt, die den Zugriff auf eine Registrierung einschränken, einschließlich:

• Privater Endpunkt mit Azure Private Link. Wenn ein privater Endpunkt einer Registrierung konfiguriert ist, können nur Ressourcen innerhalb des virtuellen Netzwerks unter Verwendung privater IP-Adressen darauf zugreifen.
• Firewallregeln für die Registrierung, die den Zugriff auf den öffentlichen Endpunkt der Registrierung nur über bestimmte öffentliche IP-Adressen oder -Adressbereiche zulassen. Sie können die Firewall auch zum Blockieren des gesamten Zugriffs auf den öffentlichen Endpunkt konfigurieren, wenn private Endpunkte verwendet werden.

Wenn eine Registrierung in einem virtuellen Netzwerk bereitgestellt oder mit Firewallregeln konfiguriert wird, verweigert sie Benutzern oder Diensten von außerhalb dieser Quellen den Zugriff.

Mehrere mehrinstanzenfähige Azure-Dienste werden aus Netzwerken betrieben, die nicht in diese Netzwerkeinstellungen für die Registrierung eingeschlossen werden können, sodass sie an der Durchführung von Vorgängen wie das Übertragen von Images per Pull oder Push gehindert werden. Wenn Sie bestimmte Dienstinstanzen als „vertrauenswürdig“ festlegen, kann ein Registrierungsbesitzer ausgewählten Azure-Ressourcen gestatten, die Netzwerkeinstellungen der Registrierung für die Durchführung von Vorgängen in der Registrierung sicher zu umgehen.

Vertrauenswürdige Dienste

Instanzen der folgenden Dienste können auf eine Containerregistrierung mit Netzwerkeinschränkungen zugreifen, wenn die Einstellung Vertrauenswürdige Dienste zulassen der Registrierung aktiviert ist (Standardeinstellung). Im Laufe der Zeit werden weitere Dienste hinzugefügt.

Wo dies angegeben ist, erfordert der Zugang für den vertrauenswürdigen Dienst die zusätzliche Konfiguration einer verwalteten Identität in einer Dienstinstanz, die Zuweisung einer RBAC-Rolle und die Authentifizierung bei der Registrierung. Beispielschritte finden Sie weiter unten in diesem Artikel unter Workflow für vertrauenswürdige Dienste.

Vertrauenswürdiger Dienst	Unterstützte Verwendungsszenarien	Konfigurieren einer verwalteten Identität mit einer RBAC-Rolle
Azure Container Instances	Bereitstellen in Azure Container Instances aus Azure Container Registry mit einer verwalteten Identität	Ja, entweder systemseitig oder benutzerseitig zugewiesene Identität
Microsoft Defender für Cloud	Überprüfung auf Sicherheitsrisiken mit Microsoft Defender für Containerregistrierungen.	Nein
ACR-Aufgaben	Zugreifen auf die übergeordnete Registrierung oder eine andere Registrierung aus einer ACR-Aufgabe	Ja
Machine Learning	Bereitstellen oder Trainieren eines Modells in einem Machine Learning-Arbeitsbereich mithilfe eines benutzerdefinierten Docker-Containers	Ja
Azure Container Registry	Importieren von Images aus oder in eine netzwerkseitig eingeschränkte Azure-Containerregistrierung	Nein

Hinweis

Aktuell gilt das Aktivieren der Einstellung „Vertrauenswürdige Dienste zulassen“ nicht für App Service.

Vertrauenswürdige Dienste zulassen: CLI

Standardmäßig ist die Einstellung „Vertrauenswürdige Dienste zulassen“ in einer neuen Azure Container Registry-Instanz aktiviert. Deaktivieren oder aktivieren Sie die Einstellung, indem Sie den Befehl az acr update ausführen.

So deaktivieren Sie

az acr update --name myregistry --allow-trusted-services false

So aktivieren Sie die Einstellung in einer vorhandenen Registrierung oder in einer Registrierung, in der sie bereits deaktiviert ist

az acr update --name myregistry --allow-trusted-services true

Vertrauenswürdige Dienste zulassen: Portal

Standardmäßig ist die Einstellung „Vertrauenswürdige Dienste zulassen“ in einer neuen Azure Container Registry-Instanz aktiviert.

So deaktivieren oder aktivieren Sie die Einstellung im Portal erneut

1. Navigieren Sie im Azure-Portal zu Ihrer Containerregistrierung.
2. Wählen Sie unter Einstellungen die Option Netzwerk aus.
3. Wählen Sie unter Öffentlichen Netzwerkzugriff zulassen die Option Ausgewählte Netzwerke oder Deaktiviert aus.
4. Führen Sie eines der folgenden Verfahren aus:
   • Um den Zugriff von vertrauenswürdigen Diensten zu deaktivieren, deaktivieren Sie unter Firewallausnahme die Option Vertrauenswürdigen Microsoft-Diensten den Zugriff auf diese Containerregistrierung gestatten.
   • Um vertrauenswürdige Dienste zuzulassen, aktivieren Sie unter Firewallausnahme die Option Vertrauenswürdigen Microsoft-Diensten den Zugriff auf diese Containerregistrierung gestatten.
5. Wählen Sie Speichern aus.

Workflow für vertrauenswürdige Dienste

Im Folgenden finden Sie einen typischen Workflow zum Aktivieren einer Instanz eines vertrauenswürdigen Diensts für den Zugriff auf eine Containerregistrierung mit Netzwerkeinschränkungen. Dieser Workflow wird benötigt, wenn die verwaltete Identität einer Dienstinstanz zum Umgehen der Netzwerkregeln der Registrierung verwendet wird.

1. Aktivieren Sie eine verwaltete Identität in einer Instanz eines der vertrauenswürdigen Dienste für Azure Container Registry.
2. Weisen Sie der Identität eine Azure-Rolle für Ihre Registrierung zu. Weisen Sie z. B. die Rolle „ACRPull“ zu, um Containerimages zu pullen.
3. Konfigurieren Sie in der Registrierung mit Netzwerkeinschränkungen die Einstellung so, dass der Zugriff von vertrauenswürdigen Diensten zugelassen wird.
4. Verwenden Sie die Anmeldeinformationen der Identität für die Authentifizierung bei der Registrierung mit Netzwerkeinschränkungen.
5. Pullen Sie Images aus der Registrierung, oder führen Sie andere für die Rolle zulässige Vorgänge aus.

Beispiel: ACR-Aufgaben

Das folgende Beispiel veranschaulicht die Verwendung von ACR Tasks als vertrauenswürdiger Dienst. Ausführliche Informationen zu den Tasks finden Sie unter Registrierungsübergreifende Authentifizierung in einem ACR Task unter Verwendung einer in Azure verwalteten Identität.

1. Erstellen oder aktualisieren Sie eine Azure Containerregistrierung. Erstellen Sie eine ACR-Aufgabe.
   • Aktivieren Sie eine systemseitig zugewiesene verwaltete Identität, wenn Sie den Task erstellen.
   • Deaktivieren Sie den Standardauthentifizierungsmodus (--auth-mode None) der Aufgabe.
2. Weisen Sie der Aufgabenidentität eine Azure-Rolle für den Zugriff auf die Registrierung zu. Weisen Sie z. B. die Rolle „AcrPush“ zu, die über Berechtigungen zum Pullen und Pushen von Images verfügt.
3. Fügen Sie der Aufgabe Anmeldeinformationen für die Registrierung der verwalteten Identität hinzu.
4. Deaktivieren Sie den öffentlichen Zugriff in der Registrierung, um zu bestätigen, dass der Task Netzwerkeinschränkungen umgeht.
5. Führen Sie den Task aus. Wenn die Registrierung und die Aufgabe ordnungsgemäß konfiguriert sind, wird die Aufgabe erfolgreich ausgeführt, weil die Registrierung den Zugriff zulässt.

So testen Sie das Deaktivieren des Zugriffs von vertrauenswürdigen Diensten

1. Deaktivieren Sie die Einstellung, mit der der Zugriff von vertrauenswürdigen Diensten zugelassen wird.
2. Führen Sie den Task erneut aus. In diesem Fall schlägt die Ausführung der Aufgabe fehl, weil die Registrierung den Zugriff durch die Aufgabe nicht mehr zulässt.

Nächste Schritte

• Informationen zum Einschränken des Zugriffs auf eine Registrierung mithilfe eines privaten Endpunkts in einem virtuellen Netzwerk finden Sie unter Konfigurieren von Azure Private Link für eine Azure-Container Containerregistrierung.
• Informationen zum Einrichten von Firewallregeln für die Registrierung finden Sie unter Konfigurieren von Netzwerkregeln für öffentliche IP-Adressen.