Übersicht über Azure Container Registry Entra-Berechtigungen und Rollenzuweisungen

Azure Container Registry (ACR) bietet eine Reihe integrierter Rollen, die microsoft Entra-basierte Berechtigungsverwaltung für eine ACR-Registrierung bereitstellen. Mithilfe der rollenbasierten Zugriffssteuerung (Azure Role Based Access Control, RBAC) können Sie Benutzern, verwalteten Identitäten oder Dienstprinzipale eine integrierte Rolle zuweisen, um Microsoft Entra-basierte Berechtigungen zu erteilen, die innerhalb der Rolle definiert sind. Sie können auch benutzerdefinierte Rollen mit abgestimmten Berechtigungen definieren und zuweisen, die auf Ihre spezifischen Anforderungen zugeschnitten sind, wenn die integrierten Rollen Ihre Anforderungen nicht erfüllen.

Unterstützte Rollenzuweisungsidentitätstypen

ACR-Rollen können den folgenden Identitätstypen zugewiesen werden, um Berechtigungen für eine Registrierung zu erteilen:

• Individuelle Benutzeridentität
• Verwaltete Identität für Azure-Ressourcen
  • Azure DevOps – Identität von Azure Pipelines
  • Die Kubelet-Identität des Azure Kubernetes Service-Knotens (AKS-Knotens) ermöglicht dem AKS-Knoten das Abrufen von Bildern von ACR. ACR unterstützt Rollenzuweisungen für die AKS-verwaltete Kubelet-Identität und die zuvor erstellte Kubelet-Identität für AKS-Knoten , um Bilder von ACR abzurufen.
  • Azure Container Apps (ACA)-Identität
  • Azure Container Instances (ACI)-Identität
  • Azure Machine Learning (AML)-Arbeitsbereichidentität
  • Die AML-angefügte Kubelet-Identität des Kubernetes-Clusterknotens ermöglicht den Kubernetes-Clusterknoten das Abrufen von Bildern von ACR.
  • AML-Onlineendpunktidentität
  • Azure App Service-Identität
  • Azure Web Apps-Identität
  • Azure Batch-Identität
  • Identität von Azure-Funktionen
• Service Principal
  • AKS-Clusterdienstprinzipal ermöglicht AKS-Knoten das Abrufen von Bildern von ACR. ACR unterstützt auch mandantenübergreifende AKS-Knoten zur ACR-Authentifizierung über mandantenübergreifende Dienstprinzipal-Rollenzuweisungen und Authentifizierung.
  • ACI Service Principal
  • Hybride oder lokale AKS-Cluster in Azure Stack Hub mit Dienstprinzipal

Beachten Sie, dass die mit ACR verbundene Registrierung, das lokale Registrierungsangebot von ACR, das sich von cloudbasiertem ACR unterscheidet, keine Azure-Rollenzuweisungen und entrabasierte Berechtigungsverwaltung unterstützt.

Ausführen von Rollenzuweisungen zum Erteilen von Berechtigungen

Informationen zum Zuweisen einer Rolle zu einer Identität finden Sie in den Schritten zum Hinzufügen einer Rollenzuweisung . Rollenzuweisungen können wie folgt vorgenommen werden:

• Azure-Portal
• Azure CLI
• Azure PowerShell

Um Rollenzuweisungen auszuführen, müssen Sie entweder über die Owner Rolle oder Role Based Access Control Administrator Rolle in der Registrierung verfügen.

Eingrenzen von Rollenzuweisungen auf bestimmte Repositorys

Sie können microsoft Entra-attributbasierte Zugriffssteuerung (ABAC) zum Verwalten von Microsoft Entra-basierten Repositoryberechtigungen verwenden. Mit diesem Feature können Sie Rollenzuweisungen auf bestimmte Repositorys in einer Registrierung festlegen.

Eine Übersicht über Microsoft Entra ABAC-Repositoryberechtigungen, einschließlich der integrierten ACR-Rollen, die Microsoft Entra ABAC-Bedingungen unterstützen, finden Sie unter Microsoft Entra-basierte Repositoryberechtigungen. Alternativ können Sie die Verzeichnisreferenz für Azure Container Registry-Rollen für eine Liste der integrierten Rollen konsultieren, die Microsoft Entra ABAC-Bedingungen unterstützen.

Empfohlene integrierte Rollen nach Szenario

Wenden Sie das Prinzip der geringsten Berechtigungen an, indem Sie nur die Berechtigungen zuweisen, die für eine Identität erforderlich sind, um ihre beabsichtigte Funktion auszuführen. Diese gängigen Szenarien verfügen jeweils über eine empfohlene integrierte Rolle.

Hinweis

Das anwendbare integrierte Rollen- und Rollenverhalten hängt vom "Rollenzuweisungsberechtigungsmodus" der Registrierung ab. Dies ist im Azure-Portal im Blatt "Eigenschaften" sichtbar:

• RBAC-Register + ABAC-Repository-Berechtigungen: Unterstützt standardmäßige RBAC-Rollen mit optionalen Microsoft Entra ABAC-Bedingungen, um Berechtigungen auf bestimmte Repositories einzugrenzen.
• RBAC-Registrierungsberechtigungen: Unterstützt nur standardmäßige RBAC-Zuordnungen ohne ABAC-Bedingungen.

Ausführliche Informationen zu Microsoft Entra ABAC und ABAC-fähigen Rollen finden Sie unter Microsoft Entra-basierte Repositoryberechtigungen.

Registrierungen, die mit "RBAC Registry + ABAC Repository Permissions" konfiguriert sind

• Szenario: Identitäten, die Bilder abrufen und Lieferkettenartefakte wie Entwickler, Pipelines und Container-Orchestratoren überprüfen müssen (z. B. Azure Kubernetes Service node kubelet Identity, Azure Container Apps, Azure Container Instances, Azure Machine Learning Arbeitsbereiche)

  • Rolle: Container Registry Repository Reader
  • Zweck: Gewährt schreibgeschützten Zugriff auf Datenebenen zum Abrufen von Bildern und Artefakten, zum Anzeigen von Tags, Repositorys, OCI-Verweisenden (Open Container Initiative) und Artefaktstreamingkonfigurationen. Enthält keine Steuerungsebenen- oder Schreibberechtigungen. Erteilt keine Kataloglistenberechtigungen, um Repositorys im Register aufzulisten.
  • ABAC-Unterstützung: Diese Rolle unterstützt optionale Microsoft Entra ABAC-Bedingungen, um Rollenzuweisungen auf bestimmte Repositorys in der Registrierung festzulegen.

• Szenario: Identitäten wie CI/CD-Buildpipelinen und Entwickelnde, die Bilder erstellen und pushen sowie Bildtags verwalten

  • Rolle: Container Registry Repository Writer
  • Berechtigungen: Gewährt Zugriff auf Datenebene zum Pushen, Pullen und Aktualisieren (aber nicht Löschen) von Images und Artefakten, Lesen/Verwalten von Tags, Lesen/Verwalten von OCI-Referrern und Aktivieren (aber nicht Deaktivieren) des Artefaktstreamings für Repositorys und Images. Umfasst keine Berechtigungen auf Steuerungsebene. Erteilt keine Kataloglistenberechtigungen, um Repositorys im Register aufzulisten.
  • ABAC-Unterstützung: Diese Rolle unterstützt optionale Microsoft Entra ABAC-Bedingungen, um Rollenzuweisungen auf bestimmte Repositorys in der Registrierung festzulegen.

• Szenario: Identitäten, die Bilder, Artefakte, Tags und OCI-Referrer löschen müssen

  • Rolle: Container Registry Repository Contributor
  • Berechtigungen: Gewährt Berechtigungen zum Lesen, Schreiben, Aktualisieren und Löschen von Bildern und Artefakten, Lesen/Verwalten/Löschen von Tags, Lesen/Verwalten/Löschen von OCI-Verweisenden und Aktivieren/Deaktivieren des Artefaktstreamings für Repositorys und Bilder. Umfasst keine Berechtigungen auf Steuerungsebene. Erteilt keine Kataloglistenberechtigungen, um Repositorys im Register aufzulisten.
  • ABAC-Unterstützung: Diese Rolle unterstützt optionale Microsoft Entra ABAC-Bedingungen, um Rollenzuweisungen auf bestimmte Repositorys in der Registrierung festzulegen.

• Szenario: Identitäten, die alle Repositorys in der Registrierung auflisten müssen

  • Rolle: Container Registry Repository Catalog Lister
  • Berechtigungen: Gewährt Zugriff auf Datenebene auf alle Repositorys in der Registrierung, auch über die Registrierungs-API-Endpunkte {loginServerURL}/acr/v1/_catalog und {loginServerURL}/v2/_catalog. Umfasst keine Berechtigungen auf Steuerungsebene oder zum Pushen/Pullen von Images.
  • ABAC-Unterstützung: Diese Rolle unterstützt keine Microsoft Entra ABAC-Bedingungen. Daher gewährt diese Rollenzuweisung Berechtigungen zum Auflisten aller Repositorys in der Registrierung.

• Szenario: Pipelines, Identitäten und Entwickelnde, die Images signieren

  • Für das Signieren von Images mit OCI-Referrern wie Notary Project:
    • Rolle: Container Registry Repository Writer
    • Berechtigungen: Gewährt Datenebenenzugriff auf Pushsignaturen in Form von OCI-Verweisenden, die an Bilder und Artefakte angefügt sind. Umfasst keine Berechtigungen auf Steuerungsebene.
    • ABAC-Unterstützung: Diese Rolle unterstützt optionale Microsoft Entra ABAC-Bedingungen, um Rollenzuweisungen auf bestimmte Repositorys in der Registrierung festzulegen.
  • Für das Signieren von Images mit Docker Content Trust (DCT):
    • Das Signieren von Images mit DCT für ABAC-fähige Registrierungen wird nicht unterstützt.

• Szenario: Pipelines, Identitäten und Entwickler, die ACR-Registrierungen erstellen, aktualisieren oder löschen müssen

  • Rolle: Container Registry Contributor and Data Access Configuration Administrator
  • Berechtigungen:
    • Gewährt Steuerungsebenenzugriff zum Erstellen, Konfigurieren, Verwalten und Löschen von Registrierungen, einschließlich:
      • Konfigurieren von Registry-SKUs
      • Authentifizierungszugriffseinstellungen (Administrator-Anmeldeinformationen, anonymer Abruf, tokenbasierte Nicht-Microsoft Entra Repositoryberechtigungen und Microsoft Entra Authentifizierung-als-Arm Token-Zielgruppe)
      • Features für hohe Verfügbarkeit (Georeplikationen, Verfügbarkeitszonen und Zonenredundanz),
      • lokale Features (verbundene Registrierungen),
      • Registrierungsendpunkte (dedizierte Datenendpunkte)
      • Netzwerkzugriff (Einstellungen für private Verbindungen und private Endpunkte, Öffentlicher Netzwerkzugriff, Umgehung vertrauenswürdiger Dienste, Netzwerkfirewallregeln und VNET-Dienstendpunkte)
      • Registrierungsrichtlinien (Aufbewahrungsrichtlinie, registrierungsweite Quarantäneaktivierung, Soft-Delete-Aktivierung und Datenexfiltrationsexportrichtlinie)
      • Diagnose- und Überwachungseinstellungen (Diagnoseeinstellungen, Protokolle, Metriken, Webhooks für Registrierungen und Georeplikationen und Ereignisraster)
      • Verwalten der systemseitig zugewiesenen verwalteten Identität einer Registrierung
    • Hinweis: Diese Rolle gewährt Berechtigungen zum Löschen der Registrierung selbst.
    • Hinweis: Diese Rolle enthält keine Datenebenenvorgänge (z. B. Bild-Push/Pull), Rollenzuweisungsfunktionen oder ACR-Aufgaben.
    • Hinweis: Um die vom Benutzer zugewiesene verwaltete Identität einer Registrierung zu verwalten, muss der Zugewiesene auch über die Managed Identity Operator Rolle verfügen.
  • ABAC-Unterstützung: Diese Rolle unterstützt keine Microsoft Entra ABAC-Bedingungen, da die Rolle auf die Registrierungsstufe beschränkt ist und Berechtigungen zum Verwalten von Steuerelementebeneneinstellungen und -konfigurationen für die gesamte Registrierung gewährt.

• Szenario: Pipelines, Infrastrukturingenieure oder Überwachungs-/Monitoring-Tools der Kontrollschicht, die Registry-Konfigurationen auflisten und anzeigen müssen, jedoch keinen Zugriff auf Registry-Bilder haben

  • Rolle: Container Registry Configuration Reader and Data Access Configuration Reader
  • Berechtigungen: Schreibgeschütztes Gegenstück der Rolle Container Registry Contributor and Data Access Configuration Administrator Gewährt Zugriff auf die Steuerebene, um Registrierungen anzusehen und aufzulisten sowie Registrierungskonfigurationen zu prüfen, aber nicht zu ändern. Umfasst keine Datenebenenvorgänge (z. B. Bild-Push-/Pull-Funktionen) oder Rollenzuweisungsfunktionen.
  • ABAC-Unterstützung: Diese Rolle unterstützt keine Microsoft Entra ABAC-Bedingungen, da die Rolle auf die Registrierungsstufe beschränkt ist und Berechtigungen zum Lesen von Steuerelementebeneneinstellungen und -konfigurationen für die gesamte Registrierung gewährt.

• Szenario: Sicherheitsrisikoscanner und -tools, die Registrierungs- und Registrierungskonfigurationen überwachen müssen, sowie Zugriff auf Registrierungsimages, um sie auf Sicherheitsrisiken zu überprüfen

  • Rollen: Container Registry Repository Reader, Container Registry Repository Catalog Lister, und Container Registry Configuration Reader and Data Access Configuration Reader
  • Berechtigungen: Gewährt Zugriff auf Steuerungsebene zum Anzeigen und Auflisten von ACR-Registrierungen sowie zum Überwachen von Registrierungskonfigurationen für Überwachung und Compliance Gewährt außerdem Berechtigungen zum Abrufen von Bildern, Artefakten und Anzeigen von Tags zum Scannen und Analysieren von Bildern auf Sicherheitsrisiken.
  • ABAC-Unterstützung: ACR empfiehlt, dass Sicherheitsrisikoscanner und -monitore über vollständigen Datenebenenzugriff auf alle Repositorys in der Registrierung verfügen. Daher sollten diese Rollen ohne Microsoft Entra ABAC-Bedingungen zugewiesen werden, um Rollenberechtigungen zu gewähren, ohne sie für bestimmte Repositorys festzulegen.

• Szenario: Pipelines und Identitäten, die ACR-Aufgaben koordinieren

  • Rolle: Container Registry Tasks Contributor
  • Berechtigungen: Verwalten von ACR-Aufgaben, einschließlich Aufgabendefinitionen und Aufgabenausführungen, Aufgaben-Agent-Pools, Schnellbuilds mit az acr build und Schnellausführungen mit az acr runund Aufgabenprotokollen. Umfasst keine Berechtigungen für datenebenen oder eine breitere Registrierungskonfiguration.
  • Hinweis: Um Aufgabenidentitäten vollständig zu verwalten, muss der Zugewiesene über die Managed Identity Operator Rolle verfügen.
  • ABAC-Unterstützung: Diese Rolle unterstützt keine Microsoft Entra ABAC-Bedingungen, da die Rolle auf die Registrierungsstufe festgelegt ist und Berechtigungen zum Verwalten aller ACR-Aufgaben in der Registrierung gewährt.

• Szenario: Identitäten wie Pipelines und Entwickler, die Bilder mit az acr import importieren

  • Rolle: Container Registry Data Importer and Data Reader
  • Berechtigungen: Gewährt Zugriff auf die Steuerungsebene, um Bildimporte mittels az acr import auszulösen, sowie Datenebenenzugriff zur Überprüfung des Importerfolgs (importierte Bilder und Artefakte abrufen, Inhaltsverzeichnis des Repositorys anzeigen, OCI-Referenzen auflisten und importierte Tags inspizieren). Lässt das Pushen oder Ändern von Inhalten in der Registrierung nicht zu.
  • ABAC-Unterstützung: Diese Rolle unterstützt keine Microsoft Entra ABAC-Bedingungen, da die Rolle auf die Registrierungsstufe festgelegt ist und Berechtigungen zum Importieren von Bildern in ein beliebiges Repository in der Registrierung gewährt. Außerdem gewährt sie Berechtigungen zum Lesen von Bildern in allen Repositorys in der Registrierung.

• Szenario: Identitäten wie Pipelines und Entwickelnde, die ACR-Übertragungspipelinen zum Übertragen von Artefakten zwischen Registrierungen mithilfe zwischengeschalteter Speicherkonten über Netzwerk-, Mandanten- oder Luftlückengrenzen hinweg verwalten

  • Rolle: Container Registry Transfer Pipeline Contributor
  • Berechtigungen: Gewährt Zugriff auf die Steuerungsebene zur Verwaltung von ACR-Import-/Export-Transferpipelines und Pipelineausführungen unter Verwendung von zwischengeschalteten Speicherkonten. Umfasst keine Berechtigungen für die Datenebene, erweiterten Registrierungszugriff oder Berechtigungen zur Verwaltung anderer Azure-Ressourcentypen wie Speicherkonten oder Key Vaults.
  • ABAC-Unterstützung: Diese Rolle unterstützt keine Microsoft Entra ABAC-Bedingungen, da die Rolle auf die Registrierungsstufe begrenzt ist und Berechtigungen zum Verwalten aller ACR-Übertragungspipelines in der Registrierung gewährt.

• Szenario: Verwaltung von quarantänisierten Bildern

  • Rollen: AcrQuarantineReader und AcrQuarantineWriter
  • Berechtigungen: Verwalten von isolierten Images in der Registrierung, einschließlich Auflisten und Pullen von isolierten Images zur weiteren Untersuchung und Ändern des Quarantänestatus von Images In Quarantäne befindliche Images sind gepushte Images, die nicht abgerufen oder verwendet werden können, bis sie sich nicht mehr in Quarantäne befinden.
  • ABAC-Unterstützung: Diese Rolle unterstützt keine Microsoft Entra ABAC-Bedingungen, da die Rolle auf die Registrierungsstufe festgelegt ist und Berechtigungen zum Verwalten aller in Quarantäne befindlichen Bilder in der Registrierung gewährt.

• Szenario: Entwickler oder Prozesse, die die automatische Bereinigung der Registrierung für ACR-Aufgaben konfigurieren

  • Rolle: Container Registry Tasks Contributor
  • Berechtigungen: Gewährt Berechtigungen auf Steuerungsebene zum Verwalten der automatischen Bereinigung, die in ACR Tasks ausgeführt wird
  • ABAC-Unterstützung: Diese Rolle unterstützt keine Microsoft Entra ABAC-Bedingungen, da die Rolle auf die Registrierungsstufe festgelegt ist und Berechtigungen zum Verwalten aller ACR-Aufgaben in der Registrierung gewährt.

• Szenario: Benutzer der Visual Studio Code-Docker-Erweiterung

  • Rollen: Container Registry Repository Writer, Container Registry Tasks Contributor, und Container Registry Contributor and Data Access Configuration Administrator
  • Berechtigungen: Gewährt die Möglichkeit, Registries zu durchsuchen, Bilder zu ziehen und hochzuladen, sowie Bilder zu erstellen mit Unterstützung von az acr build, um gängige Entwicklerworkflows in Visual Studio Code zu unterstützen.
  • ABAC-Unterstützung: ACR empfiehlt, dass Visual Studio Code-Benutzer vollständigen Datenebenenzugriff auf alle Repositorys in der Registrierung haben. Daher sollten diese Rollen ohne Microsoft Entra ABAC-Bedingungen zugewiesen werden, um Rollenberechtigungen zu gewähren, ohne sie für bestimmte Repositorys festzulegen.

Registrierungen, die mit "RBAC-Registrierungsberechtigungen" konfiguriert sind

• Szenario: Identitäten, die Bilder abrufen und Lieferkettenartefakte wie Entwickler, Pipelines und Container-Orchestratoren überprüfen müssen (z. B. Azure Kubernetes Service node kubelet Identity, Azure Container Apps, Azure Container Instances, Azure Machine Learning Arbeitsbereiche)

  • Rolle: AcrPull
  • Zweck: Gewährt schreibgeschützten Zugriff auf Datenebenen zum Abrufen von Bildern und Artefakten, zum Anzeigen von Tags, Repositorys, OCI-Verweisenden (Open Container Initiative) und Artefaktstreamingkonfigurationen. Enthält keine Steuerungsebenen- oder Schreibberechtigungen.

• Szenario: Identitäten wie CI/CD-Buildpipelinen und Entwickelnde, die Bilder erstellen und pushen sowie Bildtags verwalten

  • Rolle: AcrPush
  • Berechtigungen: Gewährt Datenebenenzugriff auf das Pushen und Pullen von Bildern und Artefakten, das Verwalten von Tags, das Arbeiten mit OCI-Verweisern und das Konfigurieren des Artefaktstreamings für Repositories und Bilder. Enthält keine Berechtigungen für die Steuerungsebenen.

• Szenario: Pipelines, Identitäten und Entwickelnde, die Images signieren

  • Für das Signieren von Images mit OCI-Referrern wie Notary Project:
    • Rolle: AcrPush
    • Berechtigungen: Gewährt Datenebenenzugriff auf Pushsignaturen in Form von OCI-Verweisenden, die an Bilder und Artefakte angefügt sind. Enthält keine Berechtigungen für die Steuerungsebenen.
  • Für das Signieren von Images mit Docker Content Trust (DCT):
    • Rolle: AcrImageSigner
    • Berechtigungen: Signieren Sie Bilder im Registry mit Docker Content Trust (DCT).
    • Hinweis: Docker Content Trust wird abgekündigt.

• Szenario: Pipelines, Identitäten und Entwickler, die ACR-Registrierungen erstellen, aktualisieren oder löschen müssen

  • Rolle: Container Registry Contributor and Data Access Configuration Administrator
  • Berechtigungen:
    • Gewährt Steuerungsebenenzugriff zum Erstellen, Konfigurieren, Verwalten und Löschen von Registrierungen, einschließlich:
      • Konfigurieren von Registry-SKUs
      • Authentifizierungszugriffseinstellungen (Administrator-Anmeldeinformationen, anonymer Abruf, tokenbasierte Nicht-Microsoft Entra Repositoryberechtigungen und Microsoft Entra Authentifizierung-als-Arm Token-Zielgruppe)
      • Features für hohe Verfügbarkeit (Georeplikationen, Verfügbarkeitszonen und Zonenredundanz),
      • lokale Features (verbundene Registrierungen),
      • Registrierungsendpunkte (dedizierte Datenendpunkte)
      • Netzwerkzugriff (Einstellungen für private Verbindungen und private Endpunkte, Öffentlicher Netzwerkzugriff, Umgehung vertrauenswürdiger Dienste, Netzwerkfirewallregeln und VNET-Dienstendpunkte)
      • Registrierungsrichtlinien (Aufbewahrungsrichtlinie, registrierungsweite Quarantäneaktivierung, Soft-Delete-Aktivierung und Datenexfiltrationsexportrichtlinie)
      • Diagnose- und Überwachungseinstellungen (Diagnoseeinstellungen, Protokolle, Metriken, Webhooks für Registrierungen und Georeplikationen und Ereignisraster)
      • Verwalten der systemseitig zugewiesenen verwalteten Identität einer Registrierung
    • Hinweis: Diese Rolle gewährt Berechtigungen zum Löschen der Registrierung selbst.
    • Hinweis: Diese Rolle enthält keine Datenebenenvorgänge (z. B. Bild-Push/Pull), Rollenzuweisungsfunktionen oder ACR-Aufgaben.
    • Hinweis: Um die vom Benutzer zugewiesene verwaltete Identität einer Registrierung zu verwalten, muss der Zugewiesene auch über die Managed Identity Operator Rolle verfügen.

• Szenario: Pipelines, Infrastrukturingenieure oder Überwachungs-/Monitoring-Tools der Kontrollschicht, die Registry-Konfigurationen auflisten und anzeigen müssen, jedoch keinen Zugriff auf Registry-Bilder haben

  • Rolle: Container Registry Configuration Reader and Data Access Configuration Reader
  • Berechtigungen: Schreibgeschütztes Gegenstück der Rolle Container Registry Contributor and Data Access Configuration Administrator Gewährt Zugriff auf die Steuerebene, um Registrierungen anzusehen und aufzulisten sowie Registrierungskonfigurationen zu prüfen, aber nicht zu ändern. Umfasst keine Datenebenenvorgänge (z. B. Bild-Push-/Pull-Funktionen) oder Rollenzuweisungsfunktionen.

• Szenario: Sicherheitsrisikoscanner und -tools, die Registrierungs- und Registrierungskonfigurationen überwachen müssen, sowie Zugriff auf Registrierungsimages, um sie auf Sicherheitsrisiken zu überprüfen

  • Rollen: AcrPull und Container Registry Configuration Reader and Data Access Configuration Reader
  • Berechtigungen: Gewährt Zugriff auf Steuerungsebene zum Anzeigen und Auflisten von ACR-Registrierungen sowie zum Überwachen von Registrierungskonfigurationen für Überwachung und Compliance Gewährt außerdem Berechtigungen zum Abrufen von Bildern, Artefakten und Anzeigen von Tags zum Scannen und Analysieren von Bildern auf Sicherheitsrisiken.

• Szenario: Pipelines und Identitäten, die ACR-Aufgaben koordinieren

  • Rolle: Container Registry Tasks Contributor
  • Berechtigungen: Verwalten von ACR-Aufgaben, einschließlich Aufgabendefinitionen und Aufgabenausführungen, Aufgaben-Agent-Pools, Schnellbuilds mit az acr build und Schnellausführungen mit az acr runund Aufgabenprotokollen. Umfasst keine Berechtigungen für datenebenen oder eine breitere Registrierungskonfiguration.
  • Hinweis: Um Aufgabenidentitäten vollständig zu verwalten, muss der Zugewiesene über die Managed Identity Operator Rolle verfügen.

• Szenario: Identitäten wie Pipelines und Entwickler, die Bilder mit az acr import importieren

  • Rolle: Container Registry Data Importer and Data Reader
  • Berechtigungen: Gewährt Zugriff auf die Steuerungsebene, um Bildimporte mittels az acr import auszulösen, sowie Datenebenenzugriff zur Überprüfung des Importerfolgs (importierte Bilder und Artefakte abrufen, Inhaltsverzeichnis des Repositorys anzeigen, OCI-Referenzen auflisten und importierte Tags inspizieren). Lässt das Pushen oder Ändern von Inhalten in der Registrierung nicht zu.

• Szenario: Identitäten wie Pipelines und Entwickelnde, die ACR-Übertragungspipelinen zum Übertragen von Artefakten zwischen Registrierungen mithilfe zwischengeschalteter Speicherkonten über Netzwerk-, Mandanten- oder Luftlückengrenzen hinweg verwalten

  • Rolle: Container Registry Transfer Pipeline Contributor
  • Berechtigungen: Gewährt Zugriff auf die Steuerungsebene zur Verwaltung von ACR-Import-/Export-Transferpipelines und Pipelineausführungen unter Verwendung von zwischengeschalteten Speicherkonten. Umfasst keine Berechtigungen für die Datenebene, erweiterten Registrierungszugriff oder Berechtigungen zur Verwaltung anderer Azure-Ressourcentypen wie Speicherkonten oder Key Vaults.

• Szenario: Verwaltung von quarantänisierten Bildern

  • Rollen: AcrQuarantineReader und AcrQuarantineWriter
  • Berechtigungen: Verwalten von isolierten Images in der Registrierung, einschließlich Auflisten und Pullen von isolierten Images zur weiteren Untersuchung und Ändern des Quarantänestatus von Images In Quarantäne befindliche Images sind gepushte Images, die nicht abgerufen oder verwendet werden können, bis sie sich nicht mehr in Quarantäne befinden.

• Szenario: Löschen von Bildern, Artefakten, Tags und OCI-Verweisenden

  • Rolle: AcrDelete
  • Berechtigungen: Bietet Berechtigungen zum Löschen von Artefakten und Tags in allen Repositorys in der Registrierung. Diese Rolle gewährt keine Berechtigungen zum Löschen der Registrierung selbst.

• Szenario: Entwickler oder Prozesse, die die automatische Bereinigung der Registrierung für ACR-Aufgaben konfigurieren

  • Rolle: Container Registry Tasks Contributor
  • Berechtigungen: Gewährt Steuerungsebenenberechtigungen zum Verwalten der automatischen Bereinigung, die auf ACR-Aufgaben ausgeführt wird.

• Szenario: Benutzer der Visual Studio Code-Docker-Erweiterung

  • Rollen: AcrPush, Container Registry Tasks Contributor, und Container Registry Contributor and Data Access Configuration Administrator
  • Berechtigungen: Gewährt die Möglichkeit, Registries zu durchsuchen, Bilder zu ziehen und hochzuladen, sowie Bilder zu erstellen mit Unterstützung von az acr build, um gängige Entwicklerworkflows in Visual Studio Code zu unterstützen.

Nächste Schritte

• Informationen zum Ausführen von Rollenzuweisungen mit optionalen Microsoft Entra ABAC-Bedingungen, um Rollenzuweisungen auf bestimmte Repositorys zu beschränken, finden Sie unter Microsoft Entra-basierte Repositoryberechtigungen.
• Eine detaillierte Referenz zu jeder integrierten ACR-Rolle, einschließlich der Berechtigungen, die von jeder Rolle gewährt werden, finden Sie in der Verzeichnisreferenz zu Azure Container Registry-Rollen.
• Weitere Informationen zum Erstellen von benutzerdefinierten Rollen, die Ihren spezifischen Anforderungen und Anforderungen entsprechen, finden Sie unter benutzerdefinierte Azure Container Registry-Rollen.