Microsoft Entra-attributbasierte Zugriffssteuerung (ABAC) für Repositoryberechtigungen (Vorschau)

Azure Container Registry (ACR) unterstützt die attributbasierte Zugriffssteuerung (ABAC) von Microsoft Entra zum Verwalten von Repositoryberechtigungen. Dieses Feature verbessert die Sicherheit, indem eine differenziertere Berechtigungsverwaltung für Containerregistrierungsrepositorys ermöglicht wird. ABAC baut auf der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Entra auf, indem repositoryspezifische Bedingungen in Rollenzuweisungen eingeführt werden.

ABAC wurde für die Verwaltung von Repositoryberechtigungen mit rollenbasierter Microsoft Entra-Zugriffssteuerung (RBAC), Microsoft Entra-Rollenzuweisungen und Microsoft Entra-Identitäten entwickelt. Um Repositoryberechtigungen ohne Microsoft Entra zu verwalten, verwenden Sie stattdessen nicht von Microsoft Entra tokenbasierte Repositoryberechtigungen .

Konfigurieren des Berechtigungsmodus für Registrierungsrollenzuweisungen

Um Microsoft Entra ABAC zum Verwalten von Repositoryberechtigungen zu verwenden, stellen Sie sicher, dass der Berechtigungsmodus für die Registrierungsrollenzuweisung auf "RBAC-Registrierung + ABAC-Repositoryberechtigungen" festgelegt ist. Mit diesem Modus können Sie RBAC-Rollenzuweisungen (mit integrierten ACR-Rollen) mit optionalen ABAC-Bedingungen verwenden, um Rollenzuweisungen auf bestimmte Repositorys zu beschränken.

Sie können den Rollenzuweisungsberechtigungsmodus einer Registrierung entweder während der Registrierungserstellung oder durch Aktualisieren einer vorhandenen Registrierung konfigurieren. Diese Rollenzuweisung kann entweder über das Azure-Portal oder azure CLI erfolgen. Sie können ABAC für jede Registrierung unabhängig von der SKU aktivieren.

Hinweis

Stellen Sie sicher, dass Sie die neueste Version der Azure CLI installiert haben, indem Sie den Azure CLI-Befehl az upgradeausführen. Wenn Sie zuvor an der privaten Vorschau dieses Features teilgenommen haben, haben Sie möglicherweise eine benutzerdefinierte private Vorschauerweiterung installiert, um ACR ABAC zu verwalten. Diese benutzerdefinierte Erweiterung ist nicht mehr erforderlich und sollte deinstalliert werden (um Konflikte zu vermeiden), indem Sie den Azure CLI-Befehl az extension remove --name acrabacausführen.

Auswirkung auf vorhandene Rollenzuweisungen

Von Bedeutung

Wenn Sie eine Registrierung für die Verwendung von "RBAC-Registrierung + ABAC-Repositoryberechtigungen" konfigurieren, werden einige vorhandene Rollenzuweisungen nicht berücksichtigt, da eine andere Gruppe integrierter ACR-Rollen für ABAC-fähige Registrierungen gelten.

Beispielsweise werden die Rollen AcrPull, AcrPush und AcrDelete in einer ABAC-fähigen Registrierung nicht berücksichtigt. Verwenden Sie stattdessen in ABAC-fähigen Registrierungen die Container Registry Repository Reader, Container Registry Repository Writerund Container Registry Repository Contributor Rollen, um registrierungsweiten oder repositoryspezifischen Imageberechtigungen zu gewähren.

Weitere Informationen zur Rolle basierend auf Ihrem Szenario und dem Berechtigungsmodus für Registrierungsrollenzuweisungen finden Sie in Szenarien für integrierte ACR-Rollen. Alternativ finden Sie in der integrierten ACR-Rollenreferenz eine ausführliche Beschreibung der einzelnen Rollen.

Erstellen einer Registrierung mit aktivierter ABAC

Azure-Portal

Wenn Sie eine neue Registrierung über das Azure-Portal erstellen, wählen Sie im Dropdownmenü "Rollenzuweisungsberechtigungen" die Option "RBAC-Registrierung + ABAC-Repositoryberechtigungen" aus.

Füllen Sie den Rest des Registrierungserstellungsformulars aus, und klicken Sie dann auf "Erstellen", um die Registrierung zu erstellen. Weitere Informationen zum Erstellen einer Registrierung finden Sie unter Erstellen einer Azure-Containerregistrierung mithilfe des Azure-Portals.

Azure CLI

Verwenden Sie beim Ausführen von az acr create, den --role-assignment-mode Parameter, um den Berechtigungsmodus für die Zuweisung der Registrierungsrolle festzulegen.

• Sie können rbac-abac angeben, um eine Registrierung im neuen Modus "RBAC Registry + ABAC Repository Permissions" zu erstellen, mit dem Sie RBAC-Rollenzuweisungen mit optionalen Microsoft Entra ABAC-Bedingungen nutzen können, um Rollenzuweisungen auf bestimmte Repositorys einzugrenzen.
• Sie können auch angeben rbac , dass eine Registrierung mit dem älteren Modus "RBAC-Registrierungsberechtigungen" erstellt wird, der nur RBAC-Rollenzuweisungen ohne ABAC-Bedingungen unterstützt.

Führen Sie den folgenden Befehl aus, um eine ABAC-fähige Registrierung mit "RBAC Registry + ABAC Repository Permissions" zu erstellen:

az acr create --name <registry-name> --resource-group <resource-group> --sku <sku> --role-assignment-mode 'rbac-abac' --location <location>

Aktualisieren einer vorhandenen Registrierung zum Aktivieren von ABAC

Azure-Portal

Um den vorhandenen Rollenzuweisungsberechtigungsmodus einer Registrierung anzuzeigen, navigieren Sie zum Blatt "Eigenschaften" der Registrierung. Der aktuelle Modus für Rollenzuweisungsberechtigungen wird im Feld "Rollenzuweisungsberechtigungsmodus" angezeigt.

Um den Modus "Rollenzuweisungsberechtigungen" einer vorhandenen Registrierung zu aktualisieren, wählen Sie "RBAC Registry + ABAC Repository Permissions" aus, und klicken Sie auf "Speichern", um die Registrierung zu aktualisieren.

Azure CLI

Beim Ausführen von az acr update verwenden Sie den --role-assignment-mode Parameter, um den Berechtigungsmodus für die Registry-Rollenzuweisung festzulegen.

• Sie können rbac-abac verwenden, um eine Registrierung auf den neuen Berechtigungsmodus "RBAC Registry + ABAC Repository Permissions" zu aktualisieren. Dadurch können Sie RBAC-Rollenzuweisungen mit optionalen ABAC-Bedingungen verwenden, um die Rollenzuweisungen auf bestimmte Repositorys zu beschränken.
• Sie können auch angeben rbac , dass eine Registrierung wieder in den älteren Modus "RBAC-Registrierungsberechtigungen" aktualisiert wird, der nur RBAC-Rollenzuweisungen ohne ABAC-Bedingungen unterstützt.

Um den aktuellen Rollenzuweisungsberechtigungsmodus einer Registrierung anzuzeigen, führen Sie den folgenden Befehl aus:

az acr show --name <registry-name> --resource-group <resource-group> --query "roleAssignmentMode"

Führen Sie den folgenden Befehl aus, um eine vorhandene Registrierung auf "RBAC-Registrierung + ABAC-Repositoryberechtigungen" zu aktualisieren:

az acr update --name <registry-name> --resource-group <resource-group> --role-assignment-mode 'rbac-abac'

Zuweisen von Microsoft Entra ABAC-Repositoryberechtigungen

Sie können entweder das Azure-Portal oder die Azure CLI verwenden, um Microsoft Entra ABAC-Bedingungen zuzuweisen, um Rollenzuweisungen auf bestimmte Repositorys zu beschränken. Dieser Abschnitt enthält Beispiele zum Hinzufügen von ABAC-Bedingungen für ein bestimmtes Repository, ein Repositorypräfix (Wildcard) oder mehrere Repositorypräfixe (mehrere Wildcards).

ABAC-fähige integrierte Rollen

Die folgenden integrierten ACR-Rollen sind ABAC-fähige Rollen. Sie können optionale ABAC-Bedingungen für die folgenden Rollen angeben, um optional Rollenzuweisungen für bestimmte Repositorys festzulegen.

• Container Registry Repository Reader – ABAC-fähige Rolle, die Berechtigungen zum Lesen von Bildern, Tags und Metadaten innerhalb von Repositorys in einer Registrierung gewährt.
• Container Registry Repository Writer – ABAC-fähige Rolle, die Berechtigungen zum Lesen, Schreiben und Aktualisieren von Bildern, Tags und Metadaten in Repositorys in einer Registrierung gewährt.
• Container Registry Repository Contributor – ABAC-fähige Rolle, die Berechtigungen zum Lesen, Schreiben, Aktualisieren und Löschen von Bildern, Tags und Metadaten in Repositorys in einer Registrierung gewährt.

Beachten Sie, dass diese Rollen keine Berechtigungen zum Auflisten von Repositorys im Katalog in einer Registrierung unterstützen. Um alle Repositorys in einer Registrierung auflisten (ohne Berechtigungen zum Lesen von Repositoryinhalten zu erteilen), müssen Sie die Container Registry Repository Catalog Lister Rolle zusätzlich zuweisen. Diese separate Rolle unterstützt keine ABAC-Bedingungen und verfügt immer über Berechtigungen zum Auflisten aller Repositorys in einer Registrierung.

Von Bedeutung

Wenn Sie eine ABAC-fähige Rolle ohne ABAC-Bedingungen zuweisen, wird die Rollenzuweisung nicht auf bestimmte Repositories beschränkt. Dies bedeutet, dass eine Rollenzuweisung ohne ABAC-Bedingungen als registrierungsweite Rollenzuweisung behandelt wird und allen Repositorys in der Registrierung Berechtigungen erteilt. Um eine Rollenzuweisung auf bestimmte Repositorys festzulegen, müssen Sie ABAC-Bedingungen einschließen, wenn Sie eine ABAC-fähige Rolle zuweisen.

Weitere Informationen zur Rolle basierend auf Ihrem Szenario und dem Berechtigungsmodus für Registrierungsrollenzuweisungen finden Sie in Szenarien für integrierte ACR-Rollen. Alternativ finden Sie in der integrierten ACR-Rollenreferenz eine ausführliche Beschreibung der einzelnen Rollen.

Bereichsrollenzuweisung zu einem bestimmten Repository

In diesem Beispiel weisen wir die Container Registry Repository Reader Rolle zu, um Pullberechtigungen für ein einzelnes Repository zu erteilen. Durch Hinzufügen von ABAC-Bedingungen ermöglicht diese Rollenzuweisung der Identität, Bilder abzurufen, Tags anzuzeigen und Metadaten nur aus dem angegebenen Repository zu lesen, sodass der Zugriff auf andere Repositorys in der Registrierung verhindert wird.

Azure-Portal

Navigieren Sie zum Blatt „Zugriffssteuerung (IAM)“ der Registrierung. Klicken Sie auf "Hinzufügen", und wählen Sie "Rollenzuweisung hinzufügen" aus.

Wählen Sie Container Registry Repository Reader als Rolle aus.

Fahren Sie fort, indem Sie die Identität auswählen, der die Rolle zugewiesen werden soll.

Fahren Sie anschließend mit der Registerkarte "Bedingungen" fort. Wählen Sie die Schaltfläche "Bedingung hinzufügen" aus, um eine neue ABAC-Bedingung hinzuzufügen, um den Rollenzuweisungsbereich einzuschränken.

Wählen Sie die Option "Visual Editor" im ABAC-Bedingungs-Generator aus.

Wählen Sie die Aktionen (Berechtigungen) aus, die dieser Rollenzuweisung im Repositorybereich gewährt werden sollen. Wählen Sie in den meisten Anwendungsfällen alle Aktionen (Berechtigungen) aus, die zu der zuvor ausgewählten Rolle gehören, und stellen Sie sicher, dass Identitäten diese Aktionen nur innerhalb des Repositorybereichs ausführen können.

Fügen Sie einen Ausdruck für die ABAC-Bedingung hinzu, um die Rollenzuweisung auf ein bestimmtes Repository einzuschränken.

Konfigurieren Sie die folgenden Optionen für den Ausdruck, um die ABAC-Bedingung auf ein bestimmtes Repository zu beschränken:

• Attributquelle: Request
• Attribut: Repository name
• Operator: StringEqualsIgnoreCase
• Wert: <repository-name> - der vollständige Name des Repositorys.
  • Zum Beispiel, wenn der vollständige Repositoryname nginx ist, geben Sie nginx ein.
  • Wenn der vollständige Repositoryname lautet backend/nginx, geben Sie backend/nginx.

Klicken Sie auf "Speichern", um die ABAC-Bedingung zu speichern.

Überprüfen Sie die ABAC-Bedingung für die Rollenzuweisung. Die Überprüfungsseite enthält einen Codeausdruck der ABAC-Bedingung, der verwendet werden kann, um dieselbe Rollenzuweisung mit derselben ABAC-Bedingung mit Azure CLI auszuführen.

Führen Sie die Rollenzuweisung aus, indem Sie auf "Überprüfen + Zuweisen" klicken.

Nachdem die Rollenzuweisung erstellt wurde, können Sie die Rollenzuweisung anzeigen, bearbeiten oder löschen. Navigieren Sie zur Registrierung "Zugriffssteuerung (IAM)", und wählen Sie die Registerkarte "Rollenzuweisungen" aus, um die Liste der vorhandenen Rollenzuweisungen anzuzeigen, die für die Registrierung gelten.

Azure CLI

Verwenden Sie az role assignment create, um eine Rollenzuweisung mit einer ABAC-Bedingung hinzuzufügen, die auf ein bestimmtes Repository festgelegt ist. Der Befehl "az role assignment create " enthält die folgenden Parameter im Zusammenhang mit ABAC-Bedingungen.

Parameter	Typ	BESCHREIBUNG
role	Schnur	Der Name der ID der rolle, die zugewiesen werden soll, z. B Container Registry Repository Reader. .
scope	Schnur	Die vollständige Ressourcen-ID der Registrierung. Dieser Parameter sollte die Registrierungsressourcen-ID (ohne Repositoryname) sein, auch für Rollenzuweisungen, die auf ein bestimmtes Repository mit dem Format /subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.ContainerRegistry/registries/{registry-name}festgelegt sind. Sie können auch den Ressourcengruppen- oder Abonnementbereich angeben, um diese Rollenzuweisung für alle Registrierungen in der Ressourcengruppe oder im Abonnement auszuführen.
assignee	Schnur	Die E-Mail-Adresse oder Objekt-ID der Microsoft Entra-Identität, der die Rolle zugewiesen werden soll. Zum Beispiel können Sie user@contoso.com für eine Benutzerzuweisung angeben. Sie können auch die Objekt-ID der Identität angeben.
assignee-object-id	Schnur	Verwenden Sie diesen Parameter anstelle von "--assignee", um graph-API-Aufrufe zu umgehen, wenn nicht genügend Berechtigungen vorhanden sind. Dieser Parameter funktioniert nur mit Objekt-IDs für Benutzer, Gruppen, Dienstprinzipale und verwaltete Identitäten. Verwenden Sie für verwaltete Identitäten die Prinzipal-ID. Verwenden Sie für Dienstprinzipale die Objekt-ID und nicht die Anwendungs-ID.
description	Schnur	Eine Beschreibung für die Rollenzuweisung, um den Zweck der Rollenzuweisung zu ermitteln. Dieser Parameter ist optional.
condition	Schnur	Ein Codeausdruck, der die ABAC-Bedingung für die Rollenzuweisung definiert.
condition-version	Schnur	Hierbei handelt es sich um die Version der Bedingungssyntax. Wenn --condition ohne --condition-version angegeben wird, wird die Version auf den Standardwert von 2.0 gesetzt.

Das ACR-Team empfiehlt die Verwendung des visuellen Editors in der Rollenzuweisungsumgebung im Azure-Portal, um den Ausdruck für die ABAC-Bedingung zu erstellen.

Verwenden Sie den folgenden Ausdruck für die ABAC-Bedingung, um die Rollenzuweisung auf das Repository nginxeinzuschränken:

(
 (
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})
  AND
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'})
 )
 OR 
 (
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringEqualsIgnoreCase 'nginx'
 )
)

Sie können diese ABAC-Bedingung in einer Shellvariable namens condition speichern und dann im Befehl az role assignment create verwenden.

condition=$(cat <<'EOF' | tr -d '\n'
(
 (
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})
  AND
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'})
 )
 OR 
 (
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringEqualsIgnoreCase 'nginx'
 )
)
EOF
)

Sie können die condition Variable überprüfen, um zu überprüfen, ob sie korrekt ist. Stellen Sie sicher, dass Sie immer dann doppelte Anführungszeichen (") verwenden, wenn Sie die condition Variable verwenden.

echo "$condition"

Bevor Sie die Rollenzuweisung ausführen, müssen Sie auch die Registrierungsressourcen-ID für den --scope Parameter abfragen. Der --scope Parameter sollte immer die Registrierungsressourcen-ID (ohne Repositoryname) sein, auch für Rollenzuweisungen, die auf ein bestimmtes Repository festgelegt sind. Sie können auch den Ressourcengruppen- oder Abonnementbereich angeben, um diese Rollenzuweisung für alle Registrierungen in der Ressourcengruppe oder im Abonnement auszuführen.

scope=$(az acr show --name <registry-name> --resource-group <resource-group> --query "id" -o tsv)

Führen Sie zum Ausführen der Rollenzuweisung schließlich den folgenden Befehl aus:

az role assignment create \
  --role "Container Registry Repository Reader" \
  --scope "$scope" \
  --assignee "user@contoso.com" \
  --description "Read access to a specific repository" \
  --condition "$condition" \
  --condition-version "2.0"

Nachfolgend sehen Sie ein Beispiel für die Ausgabe:

{
    "canDelegate": null,
    "condition": "( (  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})  AND  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'}) ) OR  (  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringEqualsIgnoreCase 'nginx' ))",
    "conditionVersion": "2.0",
    "description": "{description}",
    "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}",
    "name": "{roleAssignmentId}",
    "principalId": "{userObjectId}",
    "principalType": "User",
    "resourceGroup": "{resourceGroup}",
    "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}",
    "scope": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.ContainerRegistry/registries/{registryName}",
    "type": "Microsoft.Authorization/roleAssignments"
}

Um die Rollenzuweisung zu aktualisieren oder zu löschen, können Sie az role assignment update oder az role assignment delete verwenden.

Festlegen des Bereichs der Rollenzuweisung auf mehrere Repositorys mithilfe des Repositorypräfixes (Platzhalter)

In diesem Beispiel weisen wir die Container Registry Repository Reader Rolle zu, um Pullberechtigungen für mehrere Repositorys mit einem gemeinsamen Präfix (Wildcard) zu erteilen. Durch Hinzufügen von ABAC-Bedingungen ermöglicht diese Rollenzuweisung der Identität, Bilder abzurufen, Tags anzuzeigen und Metadaten nur aus Repositorys mit einem gemeinsamen Präfix zu lesen, sodass der Zugriff auf andere Repositorys in der Registrierung verhindert wird.

Azure-Portal

Wenn Sie dem vorherigen Beispiel zum Zuweisen der Container Registry Repository Reader Rolle zu einem bestimmten Repository gefolgt sind, müssen Sie diese Rollenzuweisung löschen (indem Sie zum Blatt "Zugriffssteuerung (IAM)" navigieren und die Registerkarte "Rollenzuweisungen" auswählen), bevor Sie eine neue mit einer ABAC-Bedingung erstellen, die auf ein Repositorypräfix festgelegt ist.

Führen Sie die gleichen Schritte wie im vorherigen Beispiel aus, um eine Rollenzuweisung mit ABAC-Bedingungen auszuführen.

Konfigurieren Sie im Schritt zum Hinzufügen eines Ausdrucks für die ABAC-Bedingung einen Ausdruck für eine ABAC-Bedingung, um die Rollenzuweisung auf mehrere Repositorys mit einem gemeinsamen Präfix (Platzhalter) zu beschränken. Konfigurieren Sie die folgenden Optionen:

• Attributquelle: Request
• Attribut: Repository name
• Operator: StringStartsWithIgnoreCase
• Wert: <repository-prefix> – das Präfix der Repositorys, einschließlich des nachgestellten Schrägstrichs /.
  • Wenn Sie z. B. Berechtigungen für alle Repositorys mit dem Präfix backend/ erteilen möchten, wie backend/nginx und backend/redis, geben Sie backend/ ein.
  • Geben Sie zum Erteilen von Berechtigungen für alle Repositorys mit dem Präfix frontend/js/, wie zum Beispiel frontend/js/react und frontend/js/vue, frontend/js/ ein.

Von Bedeutung

Der nachfolgende Schrägstrich / ist im Value Feld für den Ausdruck der ABAC-Bedingung erforderlich. Wenn Sie den nachgestellten Schrägstrich / nicht einschließen, können Sie unbeabsichtigt Berechtigungen für andere Repositorys gewähren, die nicht mit dem Präfix übereinstimmen. Wenn Sie beispielsweise backend ohne den nachgestellten Schrägstrich / eingeben, gewährt die Rollenzuweisung allen Repositories mit dem Präfix backend Berechtigungen, wie backend/nginx, backend/redis, backend-infra/k8s, backend-backup/store, backend und backendsvc/containers.

Klicken Sie auf "Speichern", um die ABAC-Bedingung zu speichern.

Überprüfen Sie die ABAC-Bedingung für die Rollenzuweisung. Die Überprüfungsseite enthält einen Codeausdruck der ABAC-Bedingung, der verwendet werden kann, um dieselbe Rollenzuweisung mit derselben ABAC-Bedingung mit Azure CLI auszuführen.

Führen Sie die Rollenzuweisung aus, indem Sie auf "Überprüfen + Zuweisen" klicken.

Nachdem die Rollenzuweisung erstellt wurde, können Sie die Rollenzuweisung anzeigen, bearbeiten oder löschen. Navigieren Sie zur Registrierung "Zugriffssteuerung (IAM)", und wählen Sie die Registerkarte "Rollenzuweisungen" aus, um die Liste der vorhandenen Rollenzuweisungen anzuzeigen, die für die Registrierung gelten.

Azure CLI

Wenn Sie dem vorherigen Beispiel gefolgt sind, um die Container Registry Repository Reader Rolle einem bestimmten Repository zuzuweisen, müssen Sie diese Rollenzuweisung mithilfe von az role assignment delete löschen, bevor Sie eine neue Zuweisung mit einer ABAC-Bedingung erstellen, die auf ein Repository-Präfix festgelegt ist.

Verwenden Sie az role assignment create, um eine Rollenzuweisung mit einer ABAC-Bedingung (attributbasierter Zugriffskontrolle) hinzuzufügen, die sich auf mehrere Repositorys unter einem Präfix bezieht.

Das ACR-Team empfiehlt, den visuellen Editor zu verwenden, der im Erlebnis der Rollenzuweisung im Azure-Portal verfügbar ist, um den Ausdruck für die ABAC-Bedingung zu erstellen.

Verwenden Sie den folgenden Ausdruck für die ABAC-Bedingung, um die Rollenzuweisung auf das Repository nginxeinzuschränken:

(
 (
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})
  AND
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'})
 )
 OR 
 (
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'backend/'
 )
)

Sie können diese ABAC-Bedingung in einer Shellvariable namens condition speichern, um sie im Befehl az role assignment create zu verwenden.

condition=$(cat <<'EOF' | tr -d '\n'
(
 (
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})
  AND
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'})
 )
 OR 
 (
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'backend/'
 )
)
EOF
)

Sie können die condition Variable überprüfen, um zu überprüfen, ob sie korrekt ist. Stellen Sie sicher, dass Sie immer dann doppelte Anführungszeichen (") verwenden, wenn Sie die condition Variable verwenden.

echo "$condition"

Bevor Sie die Rollenzuweisung ausführen, müssen Sie auch die Registrierungsressourcen-ID für den --scope Parameter abfragen. Der --scope Parameter sollte immer die Registrierungsressourcen-ID (ohne Repositoryname) sein, auch für Rollenzuweisungen, die auf ein Repositorypräfix definiert sind. Sie können auch den Ressourcengruppen- oder Abonnementbereich angeben, um diese Rollenzuweisung für alle Registrierungen in der Ressourcengruppe oder im Abonnement auszuführen.

scope=$(az acr show --name <registry-name> --resource-group <resource-group> --query "id" -o tsv)

Führen Sie zum Ausführen der Rollenzuweisung schließlich den folgenden Befehl aus:

az role assignment create \
  --role "Container Registry Repository Reader" \
  --scope "$scope" \
  --assignee "user@contoso.com" \
  --description "Read access to a multiple repositories under a repository prefix" \
  --condition "$condition" \
  --condition-version "2.0"

Nachfolgend sehen Sie ein Beispiel für die Ausgabe:

{
    "canDelegate": null,
    "condition": "( (  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})  AND  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'}) ) OR  (  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'backend/' ))",
    "conditionVersion": "2.0",
    "description": "{description}",
    "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}",
    "name": "{roleAssignmentId}",
    "principalId": "{userObjectId}",
    "principalType": "User",
    "resourceGroup": "{resourceGroup}",
    "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}",
    "scope": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.ContainerRegistry/registries/{registryName}",
    "type": "Microsoft.Authorization/roleAssignments"
}

Um die Rollenzuweisung zu aktualisieren oder zu löschen, können Sie az role assignment update oder az role assignment delete verwenden.

Festlegen des Bereichs der Rollenzuweisung auf mehrere Repositorys mit mehreren Repositorypräfixen (mehrere Platzhalter)

In diesem Beispiel weisen wir die Container Registry Repository Reader Rolle zu, um Pullberechtigungen für mehrere Repositorys unter zwei verschiedenen Präfixen (mehrere Wildcards) zu erteilen. Durch das Hinzufügen von ABAC-Bedingungen ermöglicht diese Rollenzuweisung der Identität, Bilder abzurufen, Tags anzuzeigen und Metadaten nur aus dem angegebenen Repository zu lesen, wodurch der Zugriff auf andere Repositorys in der Registry verhindert wird.

Azure-Portal

Wenn Sie dem vorherigen Beispiel zum Zuweisen der Container Registry Repository Reader Rolle zu einem bestimmten Repository gefolgt sind, müssen Sie diese Rollenzuweisung löschen (indem Sie zum Blatt "Zugriffssteuerung (IAM)" navigieren und die Registerkarte "Rollenzuweisungen" auswählen), bevor Sie eine neue mit einer ABAC-Bedingung erstellen, die auf ein Repositorypräfix festgelegt ist.

Führen Sie die gleichen Schritte wie im vorherigen Beispiel aus, um eine Rollenzuweisung mit ABAC-Bedingungen auszuführen.

Konfigurieren Sie im Schritt zum Hinzufügen eines Ausdrucks für die ABAC-Bedingung zwei Ausdrücke, um die Rollenzuweisung auf mehreren Repositorys unter zwei Präfixe einzuschränken: backend/ und frontend/js/ (mehrere Platzhalter).

Konfigurieren Sie für den ersten Ausdruck die folgenden Optionen:

• Attributquelle: Request
• Attribut: Repository name
• Operator: StringStartsWithIgnoreCase
• Wert: <repository-prefix> – das Präfix der Repositorys, einschließlich des nachgestellten Schrägstrichs /.
  • Wenn Sie z. B. allen Repositorys mit dem Präfix backend/ Berechtigungen erteilen möchten, wie backend/nginx und backend/redis, geben Sie backend/ ein.
  • Geben Sie zum Erteilen von Berechtigungen für alle Repositorys mit dem Präfix frontend/js/, wie z. B. frontend/js/react und frontend/js/vue, frontend/js/ ein.

Klicken Sie auf "Ausdruck hinzufügen". Stellen Sie sicher, dass der boolesche Operator auf "Or" festgelegt ist. Sie können optional "Gruppieren" auswählen, um Ausdrücke zusammen zu gruppieren und die Reihenfolge der Auswertung zu steuern. Der visuelle Editor unterstützt auch mehrere boolesche Operatoren, darunter "And", "Or", hierarchische Gruppierung und Negation.

Konfigurieren Sie für den zweiten Ausdruck die folgenden Optionen:

• Attributquelle: Request
• Attribut: Repository name
• Operator: StringStartsWithIgnoreCase
• Wert: <repository-prefix> – das Präfix der Repositorys, einschließlich des nachgestellten Schrägstrichs /.
  • Zum Beispiel, um allen Repositories mit dem Präfix backend/, wie backend/nginx und backend/redis, Berechtigungen zu erteilen, geben Sie backend/ ein.
  • Um Berechtigungen für alle Repositorys mit dem Präfix frontend/js/, wie frontend/js/react und frontend/js/vue, zu erteilen, geben Sie frontend/js/ ein.

Von Bedeutung

Der nachfolgende Schrägstrich / ist im Value Feld für den Ausdruck der ABAC-Bedingung erforderlich. Wenn Sie den abschließenden Schrägstrich / nicht einschließen, können Sie unbeabsichtigt Berechtigungen für andere Repositories erteilen, die nicht mit dem Präfix übereinstimmen. Wenn Sie beispielsweise backend ohne den nachgestellten Schrägstrich / eingeben, gewährt die Rollenzuweisung Berechtigungen für alle Repositorys mit dem Präfix backend, etwa backend/nginx, backend/redis, backend-infra/k8s, backend-backup/store, backend und backendsvc/containers.

Klicken Sie auf "Speichern", um die ABAC-Bedingung zu speichern.

Überprüfen Sie die ABAC-Bedingung für die Rollenzuweisung. Die Überprüfungsseite enthält einen Codeausdruck der ABAC-Bedingung, der verwendet werden kann, um dieselbe Rollenzuweisung mit derselben ABAC-Bedingung mit Azure CLI auszuführen.

Führen Sie die Rollenzuweisung aus, indem Sie auf "Überprüfen + Zuweisen" klicken.

Nachdem die Rollenzuweisung erstellt wurde, können Sie die Rollenzuweisung anzeigen, bearbeiten oder löschen. Navigieren Sie zur Registrierung "Zugriffssteuerung (IAM)", und wählen Sie die Registerkarte "Rollenzuweisungen" aus, um die Liste der vorhandenen Rollenzuweisungen anzuzeigen, die für die Registrierung gelten.

Azure CLI

Wenn Sie dem vorherigen Beispiel gefolgt sind, um die Rolle Container Registry Repository Reader einem bestimmten Repository zuzuweisen, müssen Sie diese Rollenzuweisung löschen (mithilfe von az role assignment delete), bevor Sie eine neue Zuweisung mit einer ABAC-Bedingung erstellen, die für ein Repositorypräfix festgelegt ist.

Um eine Rollenzuweisung mit einer ABAC-Bedingung hinzuzufügen, die auf mehrere Repositorys unter mehreren Präfixen festgelegt ist, verwenden Sie az role assignment create.

Das ACR-Team empfiehlt die Verwendung des visuellen Editors in der Rollenzuweisungsumgebung im Azure-Portal, um den Ausdruck für die ABAC-Bedingung zu erstellen.

Verwenden Sie den folgenden Ausdruck für die ABAC-Bedingung, um die Rollenzuweisung auf das Repository nginxeinzuschränken:

(
 (
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})
  AND
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'})
 )
 OR 
 (
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'backend/'
  OR
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'frontend/js/'
 )
)

Sie können diese ABAC-Bedingung in einer Shellvariablen mit dem Namen condition speichern und im Befehl az role assignment create verwenden.

condition=$(cat <<'EOF' | tr -d '\n'
(
 (
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})
  AND
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'})
 )
 OR 
 (
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'backend/'
  OR
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'frontend/js/'
 )
)
EOF
)

Sie können die condition Variable überprüfen, um zu überprüfen, ob sie korrekt ist. Stellen Sie sicher, dass Sie immer dann doppelte Anführungszeichen (") verwenden, wenn Sie die condition Variable verwenden.

echo "$condition"

Bevor Sie die Rollenzuweisung ausführen, müssen Sie auch die Registrierungsressourcen-ID abfragen, die für den --scope Parameter gilt. Der --scope Parameter sollte immer die Registrierungsressourcen-ID (ohne Repositoryname) sein, auch für Rollenzuweisungen, die auf mehrere Repositorypräfixe verteilt sind. Sie können auch den Ressourcengruppen- oder Abonnementbereich angeben, um diese Rollenzuweisung für alle Registrierungen in der Ressourcengruppe oder im Abonnement auszuführen.

scope=$(az acr show --name <registry-name> --resource-group <resource-group> --query "id" -o tsv)

Führen Sie zum Ausführen der Rollenzuweisung schließlich den folgenden Befehl aus:

az role assignment create \
  --role "Container Registry Repository Reader" \
  --scope "$scope" \
  --assignee "user@contoso.com" \
  --description "Read access to a multiple repositories under multiple repository prefixes" \
  --condition "$condition" \
  --condition-version "2.0"

Nachfolgend sehen Sie ein Beispiel für die Ausgabe:

{
    "canDelegate": null,
    "condition": "( (  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})  AND  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'}) ) OR  (  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'backend/' ))",
    "conditionVersion": "2.0",
    "description": "{description}",
    "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}",
    "name": "{roleAssignmentId}",
    "principalId": "{userObjectId}",
    "principalType": "User",
    "resourceGroup": "{resourceGroup}",
    "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}",
    "scope": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.ContainerRegistry/registries/{registryName}",
    "type": "Microsoft.Authorization/roleAssignments"
}

Um die Rollenzuweisung zu aktualisieren oder zu löschen, können Sie az role assignment update oder az role assignment delete verwenden.

Maximale Anzahl von ABAC-Bedingungen

Das Azure-Portal unterstützt eine begrenzte Anzahl von ABAC-Bedingungen pro Rollenzuweisung.

Um mehr als das Azure-Portallimit für ABAC-Bedingungen hinzuzufügen, können Sie die Azure CLI verwenden, um die Rollenzuweisung mit mehr ABAC-Bedingungen zu erstellen.

Nächste Schritte

• Eine allgemeine Übersicht über diese integrierten Rollen – einschließlich unterstützter Identitätstypen für Rollenzuweisungen, Schritte zum Ausführen einer Rollenzuweisung und empfohlene Rollen für allgemeine Szenarien – finden Sie unter Azure Container Registry RBAC integrierte Rollen.
• Informationen zum Ausführen von Rollenzuweisungen mit optionalen Microsoft Entra ABAC-Bedingungen, um Rollenzuweisungen auf bestimmte Repositorys einzuschränken, finden Sie unter Microsoft Entra-basierte Repositoryberechtigungen.
• Eine detaillierte Referenz zu jeder integrierten ACR-Rolle, einschließlich der Berechtigungen, die von jeder Rolle gewährt werden, finden Sie in der Verzeichnisreferenz zu Azure Container Registry-Rollen.
• Weitere Informationen zum Erstellen von benutzerdefinierten Rollen, die Ihren spezifischen Anforderungen und Anforderungen entsprechen, finden Sie unter benutzerdefinierte Azure Container Registry-Rollen.