Descripción general de los permisos de Azure Container Registry Entra y las asignaciones de roles.

Azure Container Registry (ACR) ofrece un conjunto de roles integrados que proporcionan administración de permisos basados en Entra de Microsoft a un registro de ACR. Con el control de acceso basado en rol (RBAC) de Azure, puede asignar un rol integrado a usuarios, identidades administradas o entidades de servicio para conceder permisos basados en Microsoft Entra definidos dentro del rol. También puede definir y asignar roles personalizados con permisos específicos adaptados a sus necesidades específicas si los roles integrados no cumplen sus requisitos.

Tipos de identidades de asignación de roles admitidos

Los roles de ACR se pueden asignar a los siguientes tipos de identidad para conceder permisos a un registro:

• Identidad de usuario individual
• Identidad administrada para recursos de Azure
  • Azure DevOps: identidad de Azure Pipelines
  • Identidad kubelet del nodo de Azure Kubernetes Service (AKS) para permitir que el nodo de AKS extraiga imágenes de ACR. ACR admite asignaciones de roles para la identidad kubelet administrada por AKS y la identidad kubelet creada previamente de AKS para que los nodos de AKS extraigan imágenes de ACR.
  • Identidad de Azure Container Apps (ACA)
  • Identidad de Azure Container Instances (ACI)
  • Identidad del área de trabajo de Azure Machine Learning (AML)
  • Identidad kubelet del nodo de clúster de Kubernetes conectado a AML para permitir que los nodos del clúster de Kubernetes extraigan imágenes de ACR.
  • Identidad del punto de conexión en línea de AML
  • Identidad de Azure App Service
  • Identidad de Azure Web Apps
  • Identidad de Azure Batch
  • Identidad de Azure Functions
• Entidad de servicio
  • Entidad de servicio del clúster de AKS para permitir que los nodos de AKS extraigan imágenes de ACR. ACR también admite la autenticación de nodo AKS a ACR entre inquilinos a través de asignaciones de roles y autenticación de entidad de servicio entre inquilinos.
  • Entidad de servicio de ACI
  • Clústeres de AKS híbridos o locales en Azure Stack Hub mediante la entidad de servicio

Tenga en cuenta que el registro conectado a ACR, la oferta de registro local de ACR que difiere de ACR basada en la nube, no admite asignaciones de roles de Azure y administración de permisos basados en Entra.

Realizar asignaciones de roles para conceder permisos

Consulte Pasos para agregar una asignación de roles para obtener información sobre cómo asignar un rol a una identidad. Las asignaciones de roles se pueden realizar mediante:

• Azure Portal
• Azure CLI
• Azure PowerShell

Para realizar asignaciones de roles, debe tener el rol Owner o el rol Role Based Access Control Administrator en el registro.

Delimitación del alcance de las asignaciones de roles a repositorios específicos

Puede usar el control de acceso basado en atributos (ABAC) de Microsoft Entra para administrar los permisos del repositorio basado en Entra de Microsoft. Esta característica permite definir el ámbito de las asignaciones de roles a repositorios específicos de un registro.

Para obtener información general sobre los permisos de repositorio de Microsoft Entra ABAC, incluidos los roles integrados de ACR que admiten las condiciones de ABAC de Microsoft Entra, consulte Permisos de repositorio basados en Microsoft Entra. Como alternativa, puede consultar la referencia de directorio de roles de Azure Container Registry para obtener una lista de roles integrados que admiten las condiciones de ABAC de Microsoft Entra.

Roles integrados recomendados por escenario

Aplique el principio de privilegios mínimos asignando solo los permisos necesarios para que una identidad realice su función prevista. Estos escenarios comunes tienen cada uno un rol integrado recomendado.

Nota:

Los roles integrados y el comportamiento de roles aplicables dependen del "modo de permisos de asignación de roles" del Registro. Esto es visible en la hoja "Propiedades" de Azure Portal:

• Permisos de registro RBAC y repositorio ABAC: Admite asignaciones estándar de roles RBAC con condiciones opcionales de Microsoft Entra ABAC para definir el ámbito de las asignaciones a repositorios específicos.
• Permisos del Registro RBAC: solo admite asignaciones de RBAC estándar sin condiciones de ABAC.

Para obtener más información sobre Microsoft Entra ABAC y los roles habilitados para ABAC, consulte Permisos de repositorio basados en Entra de Microsoft.

Registros configurados con "Registro RBAC + Permisos del repositorio ABAC"

• Escenario: identidades que necesitan extraer imágenes y validar artefactos de la cadena de suministro, como desarrolladores, canalizaciones y orquestadores de contenedores (por ejemplo, identidad de kubelet de nodo de Azure Kubernetes Service, Azure Container Apps, Azure Container Instances, áreas de trabajo de Azure Machine Learning)

  • Rol: Container Registry Repository Reader
  • Propósito: concede acceso de solo lectura al plano de datos para extraer imágenes y artefactos, ver etiquetas, repositorios, referencias de Open Container Initiative (OCI) y configuraciones de streaming de artefactos. No incluye ningún plano de control ni permisos de escritura. No concede permisos para listar catálogos de repositorios en el registro.
  • Compatibilidad con ABAC: este rol admite condiciones opcionales de Microsoft Entra ABAC para definir el ámbito de las asignaciones de roles a repositorios específicos del Registro.

• Escenario: identidades como canalizaciones de compilación de CI/CD y desarrolladores que compilan e insertan imágenes, así como administran etiquetas de imagen

  • Rol: Container Registry Repository Writer
  • Permisos: concede acceso al plano de datos para inserción, extracción y actualización de imágenes y artefactos (pero no eliminación), lectura y gestión de etiquetas, lectura y gestión de referencias OCI, y habilitar (pero no deshabilitar) el streaming de artefactos para repositorios e imágenes. No incluye ningún permiso de plano de control. No concede permisos para listar catálogos de repositorios en el registro.
  • Compatibilidad con ABAC: este rol admite condiciones opcionales de Microsoft Entra ABAC para definir el ámbito de las asignaciones de roles a repositorios específicos del Registro.

• Escenario: identidades que necesitan eliminar imágenes, artefactos, etiquetas y referencias de OCI

  • Rol: Container Registry Repository Contributor
  • Permisos: concede permisos para leer, escribir, actualizar y eliminar imágenes y artefactos, leer, administrar y eliminar etiquetas, leer, administrar y eliminar referencias de OCI, y habilitar o deshabilitar el streaming de artefactos para repositorios e imágenes. No incluye ningún permiso de plano de control. No concede permisos para listar catálogos de repositorios en el registro.
  • Compatibilidad con ABAC: este rol admite condiciones opcionales de Microsoft Entra ABAC para definir el ámbito de las asignaciones de roles a repositorios específicos del Registro.

• Escenario: identidades que necesitan enumerar todos los repositorios del registro

  • Rol: Container Registry Repository Catalog Lister
  • Permisos: concede acceso al plano de datos para enumerar todos los repositorios del registro, incluidos a través de los puntos de conexión de API del registro {loginServerURL}/acr/v1/_catalog o {loginServerURL}/v2/_catalog. No incluye permisos del plano de control ni permisos para subir o descargar imágenes.
  • Compatibilidad con ABAC: este rol no admite las condiciones de Microsoft Entra ABAC. Por lo tanto, esta asignación de roles concederá permisos para enumerar todos los repositorios del Registro.

• Escenario: canalizaciones, identidades y desarrolladores que firman imágenes

  • Para firmar imágenes con referencias de OCI como Notary Project:
    • Rol: Container Registry Repository Writer
    • Permisos: concede acceso al plano de datos para insertar firmas en forma de remitentes de OCI adjuntos a imágenes y artefactos. No incluye ningún permiso de plano de control.
    • Compatibilidad con ABAC: este rol admite condiciones opcionales de Microsoft Entra ABAC para definir el ámbito de las asignaciones de roles a repositorios específicos del Registro.
  • Para firmar imágenes con Docker Content Trust (DCT):
    • No se admite la firma de imágenes con DCT para registros habilitados para ABAC.

• Escenario: canalizaciones, identidades y desarrolladores que necesitan crear, actualizar o eliminar registros de ACR

  • Rol: Container Registry Contributor and Data Access Configuration Administrator
  • Permisos:
    • Concede acceso al plano de control para crear, configurar, administrar y eliminar registros, incluidos:
      • configurar SKU del registro
      • configuración de acceso de autenticación (credenciales de inicio de sesión de usuario administrador, extracción anónima, permisos de repositorio basados en tokens no pertenecientes a Microsoft Entra y audiencia del token de autenticación como ARM de Microsoft Entra)
      • características de alta disponibilidad (replicaciones geográficas, zonas de disponibilidad y redundancia de zona),
      • características locales (registros conectados),
      • puntos de conexión del registro (puntos de conexión de datos dedicados)
      • acceso a la red (configuración de vínculo privado y punto de conexión privado, acceso a la red pública, omisión de servicios de confianza, reglas de firewall de red, y puntos de conexión de servicio de red virtual (VNET))
      • Directivas de registro (directiva de retención, habilitación de cuarentena a nivel de registro, habilitación de eliminación suave, y directiva de exportación por exfiltración de datos)
      • configuración de diagnóstico y supervisión (configuración de diagnóstico, registros, métricas, webhooks para registros y replicaciones geográficas y Event Grid)
      • administrar la identidad administrada asignada por el sistema de un registro
    • Nota: este rol concede permisos para eliminar el propio registro.
    • Nota: este rol no incluye operaciones del plano de datos (por ejemplo, inserción o extracción de imágenes), funcionalidades de asignación de roles o tarea de ACR.
    • Nota: para administrar la identidad administrada asignada por el usuario de un registro, la persona asignada también debe tener el rol Managed Identity Operator.
  • Compatibilidad con ABAC: este rol no admite las condiciones de ABAC de Microsoft Entra, ya que el rol está en el ámbito del nivel del registro, concediéndoles permisos para administrar los ajustes y la configuración del plano de control para todo el registro.

• Escenario: canalizaciones, ingenieros de infraestructura o herramientas de supervisión y observabilidad del plano de control que necesitan enumerar registros y ver configuraciones del registro, pero no acceder a imágenes del registro

  • Rol: Container Registry Configuration Reader and Data Access Configuration Reader
  • Permisos: equivalente de solo lectura del rol Container Registry Contributor and Data Access Configuration Administrator. Concede acceso al plano de control para ver y enumerar registros e inspeccionar las configuraciones del Registro, pero no modificarlas. No incluye operaciones de plano de datos (por ejemplo, inserción o extracción de imágenes) ni funciones de asignación de roles.
  • Compatibilidad con ABAC: este rol no admite las condiciones de ABAC de Microsoft Entra, ya que el rol está limitado al nivel del registro, concediendo permisos para leer los ajustes y configuraciones del plano de control para todo el registro.

• Escenario: Analizadores de vulnerabilidades y herramientas que necesitan auditar registros y configuraciones del Registro, así como acceso a imágenes del Registro para examinarlas en busca de vulnerabilidades

  • Roles: Container Registry Repository Reader, Container Registry Repository Catalog Lister y Container Registry Configuration Reader and Data Access Configuration Reader
  • Permisos: concede acceso al plano de control para ver y enumerar registros de ACR, así como para auditar las configuraciones del registro para la auditoría y el cumplimiento. También concede permisos para extraer imágenes, artefactos y ver etiquetas para examinar y analizar imágenes para detectar vulnerabilidades.
  • Compatibilidad con ABAC: ACR recomienda que los escáneres de vulnerabilidades y monitores tengan acceso completo al plano de datos de todos los repositorios del registro. Por lo tanto, estos roles deben asignarse sin condiciones de Microsoft Entra ABAC para conceder permisos de rol sin limitar su ámbito a repositorios específicos.

• Escenario: canalizaciones e identidades que orquestan tareas de ACR

  • Rol: Container Registry Tasks Contributor
  • Permisos: administre tareas de ACR, incluidas definiciones de tareas y ejecuciones de tareas, grupos de agentes de tareas, compilaciones rápidas con az acr build y ejecuciones rápidas con az acr run, y registros de tareas. No incluye permisos de plano de datos ni una configuración más amplia del Registro
  • Nota: para administrar completamente las identidades de tareas, la persona asignada debe tener el rol de Managed Identity Operator.
  • Compatibilidad con ABAC: este rol no admite las condiciones de ABAC de Microsoft Entra, ya que el rol está en el ámbito del nivel de registro, concediéndoles permisos para administrar todas las ACR Tasks del registro.

• Escenario: identidades como canalizaciones y desarrolladores que importan imágenes con az acr import

  • Rol: Container Registry Data Importer and Data Reader
  • Permisos: concede acceso al plano de control para desencadenar importaciones de imágenes mediante az acr import, y acceso al plano de datos para validar el éxito de la importación (extraer imágenes importadas y artefactos, ver el contenido del repositorio, listar referencias OCI e inspeccionar etiquetas importadas). No permite insertar ni modificar ningún contenido en el Registro.
  • Compatibilidad con ABAC: este rol no admite las condiciones de ABAC de Microsoft Entra, ya que el rol tiene un alcance a nivel de registro y concede permisos para importar imágenes en cualquier repositorio del registro. También concede permisos para leer imágenes en todos los repositorios del Registro.

• Escenario: identidades como canalizaciones y desarrolladores que administran canalizaciones de transferencia de ACR para transferir artefactos entre registros mediante cuentas de almacenamiento intermedias entre límites de espacio aéreo, red o inquilino

  • Rol: Container Registry Transfer Pipeline Contributor
  • Permisos: concede acceso al plano de control para administrar canalizaciones de transferencia de importación y exportación de ACR y ejecuciones de canalización mediante cuentas de almacenamiento intermedias. No incluye permisos de plano de datos, acceso al registro más amplio ni permisos para administrar otros tipos de recursos de Azure, como cuentas de almacenamiento o almacenes de claves.
  • Compatibilidad con ABAC: este rol no admite las condiciones de ABAC de Microsoft Entra, ya que el rol está en el ámbito del nivel de registro, concediéndoles permisos para todas las canalizaciones de transferencia de ACR en el registro.

• Escenario: Administración de imágenes en cuarentena

  • Roles: AcrQuarantineReader y AcrQuarantineWriter
  • Permisos: administre imágenes en cuarentena en el registro, incluida la enumeración y extracción de imágenes en cuarentena para una mayor inspección y la modificación del estado de cuarentena de las imágenes. Las imágenes en cuarentena son imágenes insertadas que no se pueden extraer ni usar hasta que se quiten de cuarentena.
  • Compatibilidad con ABAC: este rol no admite las condiciones de ABAC de Microsoft Entra, ya que el rol está en el ámbito del nivel de registro, concediéndoles permisos para administrar todas las imágenes en cuarentena del registro.

• Escenario: desarrolladores o procesos que configuran la purga automática del registro en tareas de ACR

  • Rol: Container Registry Tasks Contributor
  • Permisos: concede permisos de plano de control para administrar la purga automática, que se ejecuta en ACR Tasks.
  • Compatibilidad con ABAC: este rol no admite las condiciones de ABAC de Microsoft Entra, ya que el rol está en el ámbito del nivel de registro, concediéndoles permisos para administrar todas las ACR Tasks del registro.

• Escenario: usuarios de la extensión de Docker de Visual Studio Code

  • Roles: Container Registry Repository Writer, Container Registry Tasks Contributor y Container Registry Contributor and Data Access Configuration Administrator
  • Permisos: concede funcionalidades para examinar registros, extraer e insertar imágenes y crear imágenes mediante az acr build, que admite flujos de trabajo comunes para desarrolladores en Visual Studio Code.
  • Compatibilidad con ABAC: ACR recomienda que los usuarios de Visual Studio Code tengan acceso completo al plano de datos de todos los repositorios del registro. Por lo tanto, estos roles deben asignarse sin condiciones de Microsoft Entra ABAC para conceder permisos de rol sin limitar su ámbito a repositorios específicos.

Registros configurados con "Permisos del Registro RBAC"

• Escenario: identidades que necesitan extraer imágenes y validar artefactos de la cadena de suministro, como desarrolladores, canalizaciones y orquestadores de contenedores (por ejemplo, identidad de kubelet de nodo de Azure Kubernetes Service, Azure Container Apps, Azure Container Instances, áreas de trabajo de Azure Machine Learning)

  • Rol: AcrPull
  • Propósito: concede acceso de solo lectura al plano de datos para extraer imágenes y artefactos, ver etiquetas, repositorios, referencias de Open Container Initiative (OCI) y configuraciones de streaming de artefactos. No incluye ningún plano de control ni permisos de escritura.

• Escenario: identidades como canalizaciones de compilación de CI/CD y desarrolladores que compilan e insertan imágenes, así como administran etiquetas de imagen

  • Rol: AcrPush
  • Permisos: concede acceso al plano de datos para insertar y extraer imágenes y artefactos, administrar etiquetas, trabajar con los remitentes de OCI y configurar el streaming de artefactos para repositorios e imágenes. No incluye ningún permiso de plano de control.

• Escenario: canalizaciones, identidades y desarrolladores que firman imágenes

  • Para firmar imágenes con referencias de OCI como Notary Project:
    • Rol: AcrPush
    • Permisos: concede acceso al plano de datos para insertar firmas en forma de remitentes de OCI adjuntos a imágenes y artefactos. No incluye ningún permiso de plano de control.
  • Para firmar imágenes con Docker Content Trust (DCT):
    • Rol: AcrImageSigner
    • Permisos: inicie sesión de imágenes en el registro con Docker Content Trust (DCT).
    • Nota: La confianza de contenido de Docker está en desuso.

• Escenario: canalizaciones, identidades y desarrolladores que necesitan crear, actualizar o eliminar registros de ACR

  • Rol: Container Registry Contributor and Data Access Configuration Administrator
  • Permisos:
    • Concede acceso al plano de control para crear, configurar, administrar y eliminar registros, incluidos:
      • configurar SKU del registro
      • configuración de acceso de autenticación (credenciales de inicio de sesión de usuario administrador, extracción anónima, permisos de repositorio basados en tokens no pertenecientes a Microsoft Entra y audiencia del token de autenticación como ARM de Microsoft Entra)
      • características de alta disponibilidad (replicaciones geográficas, zonas de disponibilidad y redundancia de zona),
      • características locales (registros conectados),
      • puntos de conexión del registro (puntos de conexión de datos dedicados)
      • acceso a la red (configuración de vínculo privado y punto de conexión privado, acceso a la red pública, omisión de servicios de confianza, reglas de firewall de red, y puntos de conexión de servicio de red virtual (VNET))
      • Directivas de registro (directiva de retención, habilitación de cuarentena a nivel de registro, habilitación de eliminación suave, y directiva de exportación por exfiltración de datos)
      • configuración de diagnóstico y supervisión (configuración de diagnóstico, registros, métricas, webhooks para registros y replicaciones geográficas y Event Grid)
      • administrar la identidad administrada asignada por el sistema de un registro
    • Nota: este rol concede permisos para eliminar el propio registro.
    • Nota: este rol no incluye operaciones del plano de datos (por ejemplo, inserción o extracción de imágenes), funcionalidades de asignación de roles o tarea de ACR.
    • Nota: para administrar la identidad administrada asignada por el usuario de un registro, la persona asignada también debe tener el rol Managed Identity Operator.

• Escenario: canalizaciones, ingenieros de infraestructura o herramientas de supervisión y observabilidad del plano de control que necesitan enumerar registros y ver configuraciones del registro, pero no acceder a imágenes del registro

  • Rol: Container Registry Configuration Reader and Data Access Configuration Reader
  • Permisos: equivalente de solo lectura del rol Container Registry Contributor and Data Access Configuration Administrator. Concede acceso al plano de control para ver y enumerar registros e inspeccionar las configuraciones del Registro, pero no modificarlas. No incluye operaciones de plano de datos (por ejemplo, inserción o extracción de imágenes) ni funciones de asignación de roles.

• Escenario: Analizadores de vulnerabilidades y herramientas que necesitan auditar registros y configuraciones del Registro, así como acceso a imágenes del Registro para examinarlas en busca de vulnerabilidades

  • Roles: AcrPull y Container Registry Configuration Reader and Data Access Configuration Reader
  • Permisos: concede acceso al plano de control para ver y enumerar registros de ACR, así como para auditar las configuraciones del registro para la auditoría y el cumplimiento. También concede permisos para extraer imágenes, artefactos y ver etiquetas para examinar y analizar imágenes para detectar vulnerabilidades.

• Escenario: canalizaciones e identidades que orquestan tareas de ACR

  • Rol: Container Registry Tasks Contributor
  • Permisos: administre tareas de ACR, incluidas definiciones de tareas y ejecuciones de tareas, grupos de agentes de tareas, compilaciones rápidas con az acr build y ejecuciones rápidas con az acr run, y registros de tareas. No incluye permisos de plano de datos ni una configuración más amplia del Registro
  • Nota: para administrar completamente las identidades de tareas, la persona asignada debe tener el rol de Managed Identity Operator.

• Escenario: identidades como canalizaciones y desarrolladores que importan imágenes con az acr import

  • Rol: Container Registry Data Importer and Data Reader
  • Permisos: concede acceso al plano de control para desencadenar importaciones de imágenes mediante az acr import, y acceso al plano de datos para validar el éxito de la importación (extraer imágenes importadas y artefactos, ver el contenido del repositorio, listar referencias OCI e inspeccionar etiquetas importadas). No permite insertar ni modificar ningún contenido en el Registro.

• Escenario: identidades como canalizaciones y desarrolladores que administran canalizaciones de transferencia de ACR para transferir artefactos entre registros mediante cuentas de almacenamiento intermedias entre límites de espacio aéreo, red o inquilino

  • Rol: Container Registry Transfer Pipeline Contributor
  • Permisos: concede acceso al plano de control para administrar canalizaciones de transferencia de importación y exportación de ACR y ejecuciones de canalización mediante cuentas de almacenamiento intermedias. No incluye permisos de plano de datos, acceso al registro más amplio ni permisos para administrar otros tipos de recursos de Azure, como cuentas de almacenamiento o almacenes de claves.

• Escenario: Administración de imágenes en cuarentena

  • Roles: AcrQuarantineReader y AcrQuarantineWriter
  • Permisos: administre imágenes en cuarentena en el registro, incluida la enumeración y extracción de imágenes en cuarentena para una mayor inspección y la modificación del estado de cuarentena de las imágenes. Las imágenes en cuarentena son imágenes insertadas que no se pueden extraer ni usar hasta que se quiten de cuarentena.

• Escenario: eliminar imágenes, artefactos, etiquetas y referencias de OCI

  • Rol: AcrDelete
  • Permisos: proporciona permisos para eliminar artefactos y etiquetas en todos los repositorios del registro. Este rol no concede permisos para eliminar el propio registro.

• Escenario: desarrolladores o procesos que configuran la purga automática del registro en tareas de ACR

  • Rol: Container Registry Tasks Contributor
  • Permisos: concede permisos de plano de control para administrar la purga automática, que se ejecuta en ACR Tasks.

• Escenario: usuarios de la extensión de Docker de Visual Studio Code

  • Roles: AcrPush, Container Registry Tasks Contributor y Container Registry Contributor and Data Access Configuration Administrator
  • Permisos: concede funcionalidades para examinar registros, extraer e insertar imágenes y crear imágenes mediante az acr build, que admite flujos de trabajo comunes para desarrolladores en Visual Studio Code.

Pasos siguientes

• Para realizar asignaciones de roles con condiciones opcionales de Microsoft Entra ABAC para definir el ámbito de las asignaciones de roles a repositorios específicos, consulte Permisos de repositorio basados en Microsoft Entra.
• Para obtener una referencia detallada de cada rol integrado de ACR, incluidos los permisos concedidos por cada rol, consulte la referencia de directorio de roles de Azure Container Registry.
• Para más información sobre cómo crear roles personalizados que satisfagan sus necesidades y requisitos específicos, consulte Roles personalizados de Azure Container Registry.