Share via

Deshabilitación de la autenticación como plantilla de ARM

  • Artículo

Los tokens de Azure AD se usan cuando los usuarios del Registro se autentican con ACR. De forma predeterminada, Azure Container Registry (ACR) acepta tokens de Azure AD con un ámbito de audiencia establecido para Azure Resource Manager (ARM), un nivel de administración del plano de control para administrar recursos de Azure.

Al deshabilitar los tokens de audiencia de ARM y aplicar tokens de audiencia de ACR, puede mejorar la seguridad de los registros de contenedor durante el proceso de autenticación limitando el ámbito de los tokens aceptados.

Con la aplicación de tokens de audiencia de ACR, solo se aceptarán tokens de Azure AD con un ámbito de audiencia establecido específicamente para ACR durante el proceso de autenticación e inicio de sesión del Registro. Esto significa que los tokens de audiencia de ARM aceptados anteriormente ya no serán válidos para la autenticación del registro, lo que mejora la seguridad de los registros de contenedor.

En este tutorial, aprenderá a:

  • Deshabilite la autenticación como ARM en ACR: CLI de Azure.
  • Deshabilite la autenticación como ARM en ACR: Azure Portal.

Requisitos previos

Deshabilitación de la autenticación como ARM en ACR: CLI de Azure

La deshabilitación de azureADAuthenticationAsArmPolicy forzará al registro a usar el token de audiencia de ACR. Puede utilizar la versión 2.40.0 de la CLI de Azure o una versión superior: ejecute az --version para buscar la versión.

  1. Ejecute el comando para mostrar la configuración actual de la directiva del registro para la autenticación mediante tokens de ARM con el registro. Si el estado es enabled, se pueden usar los tokens de audiencia de ARM y ACR para la autenticación. Si el estado es disabled significa que solo se pueden usar los tokens de audiencia de ACR para la autenticación.

    az acr config authentication-as-arm show -r <registry>

  2. Ejecute el comando para actualizar el estado de la directiva del registro.

    az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]

Deshabilitación de la autenticación como ARM en ACR: Azure Portal

La deshabilitación de la propiedad authentication-as-arm mediante la asignación de una directiva integrada deshabilitará automáticamente la propiedad del registro para los registros actuales y futuros. Este comportamiento automático es para los registros creados dentro del ámbito de la directiva. Los ámbitos de directiva posibles incluyen el ámbito de nivel de grupo de recursos o el ámbito de nivel de identificador de suscripción dentro del inquilino.

Puede deshabilitar la autenticación como ARM en ACR siguiendo estos pasos:

  1. Inicie sesión en Azure Portal.

  2. Consulte las definiciones de directivas integradas de ACR en la definición de azure-container-registry-built-in-policy.

  3. Asigne una directiva integrada para deshabilitar la definición de autenticación como ARM: Azure Portal.

Asigne una definición de directiva integrada para deshabilitar la autenticación de tokens de audiencia de ARM: Azure Portal.

Puede habilitar la directiva de acceso condicional del Registro en Azure Portal.

Azure Container Registry tiene dos definiciones de directiva integradas para deshabilitar la autenticación como ARM, como se indica a continuación:

  • Container registries should have ARM audience token authentication disabled. - Esta directiva notificará, bloqueará los recursos no compatibles y también enviará una solicitud para actualizar los no compatibles a compatibles.

  • Configure container registries to disable ARM audience token authentication. - Esta directiva ofrece correcciones y actualiza los recursos no compatibles a recursos compatibles.

    1. Inicie sesión en Azure Portal.

    2. Vaya a Azure Container Registry>Grupo de recursos>Valores>Directivas.

      Screenshot showing how to navigate Azure policies.

    3. Vaya a Azure Policy, en Assignments (Tareas), seleccione Assign policy (Asignar directiva).

      Screenshot showing how to assign a policy.

    4. En Assign policy (Asignar directiva), use filtros para buscar y encontrar el ámbito, la definición de directiva y el nombre de tarea.

      Screenshot of the assign policy tab.

    5. Seleccione Scope (Ámbito) para filtrar y buscar la suscripción y el grupo de recursos y elija Select (Seleccionar).

      Screenshot of the Scope tab.

    6. Seleccione Policy definition (Definición de directiva) para filtrar y buscar las definiciones de directiva integradas para la directiva de acceso condicional.

      Screenshot of built-in-policy-definitions.

    7. Use filtros para seleccionar y confirmar el ámbito, la definición de directiva y el nombre de tarea.

    8. Use los filtros para limitar los estados de cumplimiento o para buscar las directivas.

    9. Confirme los valores y establezca la aplicación de directivas como habilitada.

    10. Seleccione Revisar y crear.

      Screenshot to activate a Conditional Access policy.

Pasos siguientes

Creación y configuración de una directiva de acceso condicional