Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Container Registry (ACR) admite el control de acceso basado en rol (RBAC) de Azure para administrar el acceso al registro. Si ninguno de los roles integrados de Azure Container Registry se ajusta a sus necesidades, puede crear roles personalizados con permisos específicos adaptados a su escenario. En este artículo se describen los pasos para definir, crear y asignar roles personalizados para Azure Container Registry.
Personalice los permisos de roles
Un conjunto de permisos (acciones y acciones de datos) define un rol personalizado. Los permisos definidos en el rol personalizado determinan qué operaciones pueden realizar los usuarios en los recursos del Registro.
Para determinar qué permisos (acciones y acciones de datos) se deben definir en un rol personalizado, puede:
- Revise la definición JSON del directorio de roles integrados de Azure para contenedores , que incluye permisos usados habitualmente (acciones y acciones de datos) que se usan en roles integrados de ACR,
- Revise la lista completa de permisos del proveedor de
Microsoft.ContainerRegistryrecursos (referencia de Azure Container Registry de acciones y acciones de datos)
Para enumerar mediante programación todos los permisos disponibles (acciones y acciones de datos) para el Microsoft.ContainerRegistry proveedor de recursos, puede usar los siguientes comandos de la CLI de Azure o Azure PowerShell.
az provider operation show --namespace Microsoft.ContainerRegistry
Get-AzProviderOperation -OperationSearchString Microsoft.ContainerRegistry/*
Ejemplo: Rol personalizado para administrar webhooks
Por ejemplo, el siguiente JSON define los permisos mínimos (acciones y acciones de datos) para un rol personalizado que permite administrar webhooks de ACR.
{
"assignableScopes": [
"/subscriptions/<optional, but you can limit the visibility to one or more subscriptions>"
],
"description": "Manage Azure Container Registry webhooks.",
"Name": "Container Registry Webhook Contributor",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/write",
"Microsoft.ContainerRegistry/registries/webhooks/delete"
],
"dataActions": [],
"notActions": [],
"notDataActions": []
}
],
"roleType": "CustomRole"
}
Creación o actualización de un rol personalizado
Para definir un rol personalizado con una definición JSON, consulte los pasos para crear un rol personalizado. Puede crear el rol personalizado mediante la CLI de Azure, la plantilla de Azure Resource Manager o Azure PowerShell.
Nota:
En los inquilinos configurados con el vínculo privado de Azure Resource Manager, Azure Container Registry admite acciones con caracteres comodín como Microsoft.ContainerRegistry/*/read o Microsoft.ContainerRegistry/registries/*/write en roles personalizados, concediendo acceso a todas las acciones correspondientes.
En un inquilino sin un vínculo privado de ARM, especifique todas las acciones del Registro necesarias individualmente en un rol personalizado.
Asignación de un rol personalizado
Agregue o quite las asignaciones de roles de un rol personalizado de la misma manera en que administra las asignaciones de roles para los roles integrados. Obtenga más información sobre cómo asignar roles de Azure a una identidad de Azure mediante Azure Portal, la CLI de Azure, Azure PowerShell u otras herramientas de Azure.
Pasos siguientes
- Para obtener información general de alto nivel de estos roles integrados, incluidos los tipos de identidades de asignación de roles admitidos, los pasos para realizar una asignación de roles y los roles recomendados para escenarios comunes, consulte Roles integrados de RBAC de Azure Container Registry.
- Para realizar asignaciones de roles con condiciones opcionales de Microsoft Entra ABAC para definir el ámbito de las asignaciones de roles a repositorios específicos, consulte Permisos de repositorio basados en Microsoft Entra.
- Para obtener una referencia detallada de cada rol integrado de ACR, incluidos los permisos concedidos por cada rol, consulte la referencia de directorio de roles de Azure Container Registry.