Acceso a un registro conectado

Artículo
23/09/2024

Para acceder y administrar un registro conectado, actualmente solo se admite la autenticación basada en tokens de ACR. Como se muestra en la siguiente imagen, cada registro conectado usa dos tipos diferentes de tokens:

Tokens de cliente: uno o varios tokens que los clientes locales usan para autenticarse con un registro conectado e insertar o extraer imágenes y artefactos hacia o desde él.
Token de sincronización: token que usa cada registro conectado para acceder a su contenido primario y sincronizarlo.

Información general sobre la autenticación de registros conectados

Importante

Almacene las contraseñas de token para cada registro conectado en una ubicación segura. Una vez creadas, las contraseñas de token no se pueden recuperar. Puede volver a generar contraseñas de token en cualquier momento.

Tokens de cliente

Para administrar el acceso de cliente a un registro conectado, cree tokens con ámbito para acciones en uno o varios repositorios. Después de crear un token, configure el registro conectado para que acepte el token mediante el comando az acr connected-registry update. Así, un cliente puede usar las credenciales de token para acceder a un punto de conexión de Registro conectado; por ejemplo, para usar comandos de la CLI de Docker para extraer o insertar imágenes en el registro conectado.

Las opciones para configurar acciones de token de cliente dependen de si el registro conectado permite operaciones de inserción y extracción o funciones como un reflejo de solo extracción.

Un registro conectado en el modo ReadWrite predeterminado permite operaciones de extracción e inserción, por lo que puede crear un token que permita acciones para leer y escribir contenido del repositorio en ese registro.
Con los registros conectados en modo ReadOnly, los tokens de cliente solo pueden permitir acciones para leer contenido del repositorio.

Administración de tokens de cliente

Actualice los tokens de cliente, las contraseñas o los mapas de ámbito, según sea necesario, mediante los comandos az acr token y az acr scope-map. Las actualizaciones de los tokens de cliente se propagan automáticamente a los registros conectados que aceptan el token.

Token de sincronización

Cada registro conectado usa un token de sincronización para autenticarse con su elemento primario inmediato, que podría ser otro registro conectado o el registro en la nube. El registro conectado usa automáticamente este token al sincronizar contenido con el elemento primario o realizar otras actualizaciones.

El token de sincronización y las contraseñas se generan automáticamente al crear el recurso de registro conectado. Ejecute el comando [az acr connected-registry get-settings][/cli/azure/acr/connected-registry#az-acr-connected-registry-get-settings] para regenerar las contraseñas.
Incluya las credenciales de token de sincronización en la configuración que se usa para implementar el registro conectado en el entorno local.
De forma predeterminada, al token de sincronización se le concede permiso para sincronizar los repositorios seleccionados con su elemento primario. Debe proporcionar un token de sincronización existente o uno o varios repositorios para sincronizar al crear el recurso de registro conectado.
También tiene permisos para leer y escribir mensajes de sincronización en una puerta de enlace que se usa para comunicarse con el elemento primario del registro conectado. Estos mensajes controlan la programación de sincronización y administran otras actualizaciones entre el registro conectado y su elemento primario.

Administración del token de sincronización

Actualice los tokens de sincronización, las contraseñas o los mapas de ámbito, según sea necesario, mediante los comandos az acr token y az acr scope-map. Las actualizaciones de los tokens de sincronización se propagan automáticamente al registro conectado. Al actualizar el token de sincronización, siga las prácticas estándar de rotación de contraseñas.

Nota

El token de sincronización no se puede eliminar hasta que se elimine el registro conectado asociado al token. Puede deshabilitar un registro conectado estableciendo el estado del token de sincronización en disabled.

Puntos de conexión del registro

Las credenciales de token de los registros conectados están limitadas al acceso a puntos de conexión de registro específicos:

Un token de cliente accede al punto de conexión del registro conectado. El punto de conexión del registro conectado es el URI del servidor de inicio de sesión, que suele ser la dirección IP del servidor o del dispositivo que lo hospeda.
Un token de sincronización accede al punto de conexión del registro primario, que es otro punto de conexión del registro conectado o el propio registro en la nube. Cuando está limitado al acceso al registro en la nube, el token de sincronización debe llegar a dos puntos de conexión del registro:
- El nombre del servidor de inicio de sesión completo, por ejemplo, contoso.azurecr.io. Este punto de conexión se usa para la autenticación.
- Un punto de conexión de datos regional completo para el registro en la nube, por ejemplo, contoso.westus2.data.azurecr.io. Este punto de conexión se usa para intercambiar mensajes con el registro conectado con fines de sincronización.

Pasos siguientes

Continúe con el siguiente artículo para conocer escenarios específicos en los que se puede usar el registro conectado.

Introducción: Registro conectado e IoT Edge

Recursos adicionales

Documentación

Pull Images from a Connected Registry with Azure IoT Edge - Azure Container Registry

Learn how to use Azure Container Registry CLI commands to configure a client token and pull images from a connected registry on an IoT Edge device.
Quickstart - Create Connected Registry Using the CLI - Azure Container Registry

Use Azure CLI commands to create a connected Azure container registry resource that can synchronize images and other artifacts with the cloud registry.
Quickstart - Create Connected Registry Using the Portal - Azure Container Registry

Use Azure portal to create a connected Azure container registry resource that can synchronize images and other artifacts with the cloud registry.
Connected Registry in Azure Container Registry - Azure Container Registry

Discover the connected registry feature in Azure Container Registry. Learn about its benefits and practical use cases for container management.
Quickstart: Create an Azure container registry using Terraform - Azure Container Registry

In this quickstart, you create a unique resource group and an Azure container registry in a specified location using Terraform.
Import Container Images to ACR using Azure APIs - Azure Container Registry

Import container images to an Azure container registry by using Azure APIs, without needing to run Docker commands.
Quickstart: Deploying the Connected Registry Arc Extension - Azure Container Registry

Learn how to deploy the Connected Registry Arc Extension CLI UX with secure-by-default settings for efficient and secure container workload operations.
About Registries, Repositories, Images, and Artifacts - Azure Container Registry

Introduction to key concepts of Azure container registries, repositories, container images, and other artifacts.

Formación

Módulo

Configure Azure Container Registry for container app deployments - Training

Learn how to create and configure an Azure Container Registry, the process of pushing container images to Azure Container Registry and explore different authentication methods and security features for Azure Container Registry.

Certificación

Microsoft Certified: Identity and Access Administrator Associate - Certifications

Demonstrate the features of Microsoft Entra ID to modernize identity solutions, implement hybrid solutions, and implement identity governance.

Eventos

Cree aplicaciones inteligentes

17 mar, 9 p.m. - 21 mar, 10 a.m.

Únete a la serie de encuentros para crear soluciones de IA escalables basadas en casos de uso del mundo real con otros desarrolladores y expertos.

Regístrese ahora

Compartir vía