Présentation des autorisations et des attributions de rôles dans Azure Container Registry Entra

Azure Container Registry (ACR) offre un ensemble de rôles intégrés qui fournissent la gestion des autorisations basées sur Microsoft Entra à un registre ACR. À l’aide du contrôle d’accès en fonction du rôle (RBAC) Azure, vous pouvez attribuer un rôle intégré aux utilisateurs, aux identités managées ou aux principaux de service pour accorder des autorisations basées sur Microsoft Entra définies dans le rôle. Vous pouvez également définir et affecter des rôles personnalisés avec des autorisations affinées adaptées à vos besoins spécifiques si les rôles intégrés ne répondent pas à vos besoins.

Types d’identité d’attribution de rôle pris en charge

Les rôles ACR peuvent être attribués aux types d’identité suivants pour accorder des autorisations à un registre :

• Identité d’utilisateur individuelle
• Identité managée pour les ressources Azure
  • Azure DevOps - Identité Azure Pipelines
  • Identité kubelet du nœud Azure Kubernetes Service (AKS) pour permettre au nœud AKS d’extraire des images à partir d’ACR. ACR prend en charge les attributions de rôles pour l’identité kubelet managée par AKS et l’identité kubelet précréée AKS pour les nœuds AKS afin d’extraire des images d’ACR.
  • Identité Azure Container Apps (ACA)
  • Identité d'Azure Container Instances (ACI)
  • Identité de l’espace de travail Azure Machine Learning (AML)
  • Identité kubelet du nœud de cluster Kubernetes attaché à AML pour permettre aux nœuds du cluster Kubernetes d’extraire des images de l’ACR.
  • Identité de point de terminaison en ligne AML
  • Identité Azure App Service
  • Identité Azure Web Apps
  • Identité Azure Batch
  • Identité Azure Functions
• Principal du service
  • Principal de service de cluster AKS pour permettre aux nœuds AKS d’extraire des images de l’ACR. L’ACR prend également en charge le nœud AKS interlocataire pour l’authentification ACR par le biais d’attributions et d’authentification de rôles de principal de service interlocataire.
  • Service principal ACI
  • Clusters AKS hybrides ou locaux sur Azure Stack Hub à l’aide du principal de service

Notez que le registre connecté ACR, l’offre de Registre local d’ACR qui diffère de celle d’ACR basée sur le cloud, ne prend pas en charge les attributions de rôles Azure et la gestion des autorisations basées sur Entra.

Exécution d’attributions de rôles pour accorder des autorisations

Consultez Étapes pour ajouter une attribution de rôle pour plus d’informations sur l’attribution d’un rôle à une identité. Les attributions de rôles peuvent être effectuées à l’aide des points suivants :

• portail Azure
• Azure CLI
• Azure PowerShell

Pour effectuer des attributions de rôles, vous devez avoir soit le rôle Owner soit le rôle Role Based Access Control Administrator sur le registre.

Définition de la portée des attributions de rôles à des référentiels spécifiques

Vous pouvez utiliser le contrôle d’accès en fonction de l’attribut Microsoft Entra (ABAC) pour gérer les autorisations de référentiel Microsoft Entra. Cette fonctionnalité vous permet d’étendre les attributions de rôles à des référentiels spécifiques dans un registre.

Pour obtenir une vue d’ensemble des autorisations de référentiel Microsoft Entra ABAC, y compris les rôles intégrés ACR qui prennent en charge les conditions ABAC Microsoft Entra, consultez les autorisations de référentiel Microsoft Entra. Vous pouvez également consulter la référence du répertoire des rôles Azure Container Registry pour obtenir la liste des rôles intégrés qui prennent en charge les conditions ABAC de Microsoft Entra.

Rôles intégrés recommandés par scénario

Appliquez le principe du privilège minimum en affectant uniquement les autorisations nécessaires pour qu’une identité exécute sa fonction prévue. Ces scénarios courants ont chacun un rôle intégré recommandé.

Remarque

Les rôles intégrés et le comportement de rôle applicables dépendent du « mode d’autorisations d’attribution de rôle » du Registre. Ceci est visible dans le panneau « Propriétés » dans le portail Azure :

• Registre RBAC + Autorisations de référentiel ABAC : prend en charge les attributions de rôles RBAC standard avec des conditions Microsoft Entra ABAC facultatives pour étendre les attributions à des référentiels spécifiques.
• Autorisations du registre RBAC : Prend en charge uniquement les affectations RBAC standard sans conditions ABAC.

Pour plus d’informations sur Microsoft Entra ABAC et les rôles activés par ABAC, consultez les autorisations de référentiel basées sur Microsoft Entra.

Registres configurés avec « Registre RBAC + Autorisations de référentiel ABAC »

• Scénario : Identités qui doivent extraire des images et valider des artefacts de chaîne logistique tels que les développeurs, les pipelines et les orchestrateurs de conteneurs (par exemple, identité kubelet du nœud Azure Kubernetes Service, Azure Container Apps, Azure Container Instances, espaces de travail Azure Machine Learning)

  • Rôle : Container Registry Repository Reader
  • Objectif : accorde un accès en lecture seule au plan de données pour extraire des images et des artefacts, afficher des étiquettes, des référentiels, des références OCI (Open Container Initiative) et des configurations de streaming d’artefacts. N’inclut aucune autorisation de plan de contrôle ou d’écriture. N'accorde pas d'autorisations de liste de catalogue de référentiel pour répertorier les référentiels dans le registre.
  • Prise en charge ABAC : ce rôle prend en charge les conditions facultatives Microsoft Entra ABAC pour limiter les attributions de rôles à des référentiels spécifiques dans le registre.

• Scénario : identités telles que les pipelines de build CI/CD et les développeurs qui créent et envoie (push) des images, et qui gèrent des balises d’image

  • Rôle : Container Registry Repository Writer
  • Autorisations : accorde l’accès au plan de données pour envoyer, extraire et mettre à jour (mais pas supprimer) des images et des artefacts, lire/gérer des balises, lire/gérer des références OCI et activer (mais pas désactiver) le streaming d’artefacts pour les référentiels et les images. N’inclut aucune autorisation de plan de contrôle. N'accorde pas d'autorisations de liste de catalogue de référentiel pour répertorier les référentiels dans le registre.
  • Prise en charge ABAC : ce rôle prend en charge les conditions facultatives Microsoft Entra ABAC pour limiter les attributions de rôles à des référentiels spécifiques dans le registre.

• Scénario : Identités qui doivent supprimer des images, des artefacts, des balises et des références OCI

  • Rôle : Container Registry Repository Contributor
  • Autorisations : accorde des autorisations pour lire, écrire, mettre à jour et supprimer des images et des artefacts, lire/gérer/supprimer des balises, lire/gérer/supprimer des références OCI et activer/désactiver le streaming d’artefacts pour les référentiels et les images. N’inclut aucune autorisation de plan de contrôle. N'accorde pas d'autorisations de liste de catalogue de référentiel pour répertorier les référentiels dans le registre.
  • Prise en charge ABAC : ce rôle prend en charge les conditions facultatives Microsoft Entra ABAC pour limiter les attributions de rôles à des référentiels spécifiques dans le registre.

• Scénario : Identités devant répertorier tous les référentiels du registre

  • Rôle : Container Registry Repository Catalog Lister
  • Autorisation : accorde l'accès au plan de données pour répertorier tous les référentiels du registre, y compris via les points de terminaison {loginServerURL}/acr/v1/_catalog ou {loginServerURL}/v2/_catalog de l'API du registre. N'inclut aucune autorisation de plan de contrôle ni aucune autorisation pour envoyer/extraire des images.
  • Prise en charge ABAC : ce rôle ne prend pas en charge les conditions Microsoft Entra ABAC. Par conséquent, cette attribution de rôle accorde des autorisations pour répertorier tous les référentiels du Registre.

• Scénario : pipelines, identités et développeurs qui signent des images

  • Pour signer des images avec des référents OCI, tels que Notary Project :
    • Rôle : Container Registry Repository Writer
    • Autorisations : accorde l’accès au plan de données pour envoyer des signatures sous la forme de références OCI attachées aux images et aux artefacts. N’inclut aucune autorisation de plan de contrôle.
    • Prise en charge ABAC : ce rôle prend en charge les conditions facultatives Microsoft Entra ABAC pour limiter les attributions de rôles à des référentiels spécifiques dans le registre.
  • Pour la signature d’images avec Docker Content Trust (DCT) :
    • La signature d'images avec DCT pour les registres compatibles ABAC n'est pas prise en charge.

• Scénario : pipelines, identités et développeurs qui doivent créer, mettre à jour ou supprimer des registres ACR

  • Rôle : Container Registry Contributor and Data Access Configuration Administrator
  • Autorisations :
    • Accorde l’accès au plan de contrôle pour créer, configurer, gérer et supprimer des registres, notamment :
      • configurer les SKU de registre
      • paramètres d’accès d’authentification (informations d’identification de connexion de l’utilisateur administrateur, extraction anonyme, autorisations de dépôt basées sur des jetons non-Microsoft Entra et audience de jeton Microsoft Entra pour l'authentification ARM)
      • fonctionnalités de haute disponibilité (géoréplications, zones de disponibilité et redondance de zone)
      • fonctionnalités locales (registres connectés),
      • points de terminaison de registre (points de terminaison de données dédiés)
      • accès réseau (liaison privée et paramètres de point de terminaison privé, accès réseau public, contournement des services approuvés, règles de pare-feu réseau et points de terminaison de service de réseau virtuel)
      • stratégies de registre (stratégie de rétention, activation de mise en quarantaine à l’échelle du registre, activation de suppression réversible, et stratégie d’exportation des données exfiltrées)
      • paramètres de diagnostic et de surveillance (paramètres de diagnostic, journaux, métriques, webhooks pour les registres et les géoréplications, et Event Grid)
      • gérer l’identité managée affectée par le système d’un registre
    • Remarque : ce rôle accorde des autorisations pour supprimer le Registre lui-même.
    • Remarque : ce rôle n’inclut pas d’opérations de plan de données (par exemple, push/extraction d’images), de fonctionnalités d’attribution de rôle ou de tâche ACR.
    • Remarque : pour gérer l'identité managée assignée par l'utilisateur d'un registre, la personne assignée doit également avoir le rôle Managed Identity Operator.
  • Prise en charge ABAC : ce rôle ne prend pas en charge les conditions Microsoft Entra ABAC, car le rôle est limité au niveau du registre, accordant des autorisations pour gérer les paramètres et les configurations du plan de contrôle pour l'ensemble du registre.

• Scénario : Pipelines, ingénieurs d’infrastructure ou outils d’observabilité/surveillance du plan de contrôle qui doivent répertorier les registres et afficher les configurations de registre, sans avoir accès aux images de registre

  • Rôle : Container Registry Configuration Reader and Data Access Configuration Reader
  • Autorisations : équivalent en lecture seule du rôle Container Registry Contributor and Data Access Configuration Administrator. Accorde l’accès au plan de contrôle pour afficher et répertorier les registres et inspecter les configurations de Registre, mais ne les modifie pas. N’inclut pas les opérations de plan de données (par exemple, les fonctionnalités d’envoi (push/pull) d’image ou d’attribution de rôle.
  • Prise en charge ABAC : ce rôle ne prend pas en charge les conditions Microsoft Entra ABAC, car le rôle est limité au niveau du registre, accordant des autorisations pour lire les paramètres et les configurations du plan de contrôle pour l'ensemble du registre.

• Scénario : analyseurs et outils de vulnérabilité qui doivent auditer les registres et les configurations de Registre, ainsi que l’accès aux images de Registre pour les analyser pour détecter les vulnérabilités

  • Rôles : Container Registry Repository Reader, Container Registry Repository Catalog Listeret Container Registry Configuration Reader and Data Access Configuration Reader
  • Autorisations : accorde l’accès au plan de gestion pour afficher et répertorier les registres ACR, ainsi que pour auditer les configurations de registre pour l’audit et la conformité. Accorde également des autorisations pour extraire des images, des artefacts, et consulter des balises afin d'analyser des images pour détecter les vulnérabilités.
  • Prise en charge ABAC : ACR recommande que les scanners et les moniteurs de vulnérabilité disposent d'un accès complet au plan de données de tous les référentiels du registre. En tant que tels, ces rôles doivent être attribués sans conditions Microsoft Entra ABAC pour accorder des autorisations de rôle sans les limiter à des référentiels spécifiques.

• Scénario : pipelines et identités qui orchestrent des tâches ACR

  • Rôle : Container Registry Tasks Contributor
  • Autorisations : Gérer les tâches ACR, notamment les définitions de tâches et les exécutions de tâches, les pools d’agents de tâches, les builds rapides avec az acr build et les exécutions rapides avec az acr run, et les journaux des tâches. N’inclut pas d’autorisations de plan de données ou une configuration de Registre plus large
  • Remarque : pour gérer complètement les identités de tâche, l'assigné doit avoir le Managed Identity Operator rôle.
  • Prise en charge ABAC : ce rôle ne prend pas en charge les conditions Microsoft Entra ABAC, car le rôle est limité au niveau du registre, accordant des autorisations pour gérer toutes les tâches ACR dans le registre.

• Scénario : identités telles que des pipelines et des développeurs qui importent des images avec az acr import

  • Rôle : Container Registry Data Importer and Data Reader
  • Autorisations : accorde l’accès au plan de contrôle pour déclencher les importations d’images utilisant az acr import, et l’accès au plan de données pour valider la réussite de l’importation (extraire les images et artefacts importés, afficher le contenu du référentiel, répertorier les références OCI et inspecter les balises importées). Ne permet pas d'envoyer ni de modifier du contenu dans le registre.
  • Prise en charge ABAC : ce rôle ne prend pas en charge les conditions Microsoft Entra ABAC, car le rôle est limité au niveau du registre, accordant des autorisations pour importer des images dans n'importe quel référentiel du registre. Il accorde également des autorisations pour lire des images dans tous les référentiels du Registre.

• Scénario : identités telles que des pipelines et des développeurs qui gèrent des pipelines de transfert ACR pour transférer des artefacts entre des registres à l’aide de comptes de stockage intermédiaires entre les limites de réseau, de locataire ou d’air gap

  • Rôle : Container Registry Transfer Pipeline Contributor
  • Autorisations : accorde l’accès au plan de contrôle pour gérer les pipelines de transfert d’importation/exportation ACR et les exécutions de pipeline à l’aide de comptes de stockage intermédiaires. N’inclut pas les autorisations de plan de données, l’accès au Registre plus large ou les autorisations pour gérer d’autres types de ressources Azure, tels que des comptes de stockage ou des coffres de clés.
  • Prise en charge ABAC : ce rôle ne prend pas en charge les conditions Microsoft Entra ABAC, car le rôle est limité au niveau du registre, accordant des autorisations pour gérer tous les pipelines de transfert ACR dans le registre.

• Scénario : Gestion des images mises en quarantaine

  • Rôles : AcrQuarantineReader et AcrQuarantineWriter
  • Autorisations : gérez les images mises en quarantaine dans le Registre, y compris la liste et l’extraction d’images mises en quarantaine pour une inspection supplémentaire et la modification de l’état de quarantaine des images. Les images mises en quarantaine sont des images envoyées (push) qui ne peuvent pas être extraites ou utilisées tant qu’elles ne sont pas sorties en quarantaine.
  • Prise en charge ABAC : ce rôle ne prend pas en charge les conditions Microsoft Entra ABAC, car le rôle est limité au niveau du registre, accordant des autorisations pour gérer toutes les images mises en quarantaine dans le registre.

• Scénario : développeurs ou processus qui configurent la purge automatique du Registre pour les tâches ACR

  • Rôle : Container Registry Tasks Contributor
  • Autorisations : accorde des autorisations de plan de contrôle pour gérer le vidage automatique, qui s’exécute sur les tâches ACR.
  • Prise en charge ABAC : ce rôle ne prend pas en charge les conditions Microsoft Entra ABAC, car le rôle est limité au niveau du registre, accordant des autorisations pour gérer toutes les tâches ACR dans le registre.

• Scénario : Utilisateurs de l’extension Docker Visual Studio Code

  • Rôles : Container Registry Repository Writer, Container Registry Tasks Contributoret Container Registry Contributor and Data Access Configuration Administrator
  • Autorisations : octroie des fonctionnalités permettant de parcourir des registres, d’extraire et d’envoyer (push) des images et de générer des images à l’aide de az acr build, tout en prenant en charge les flux de travail courants pour les développeurs dans Visual Studio Code.
  • Prise en charge ABAC : ACR recommande aux utilisateurs de Visual Studio Code de disposer d’un accès complet au plan de données de tous les référentiels du registre. En tant que tels, ces rôles doivent être attribués sans conditions Microsoft Entra ABAC pour accorder des autorisations de rôle sans les limiter à des référentiels spécifiques.

Registres configurés avec les « autorisations de Registre RBAC »

• Scénario : Identités qui doivent extraire des images et valider des artefacts de chaîne logistique tels que les développeurs, les pipelines et les orchestrateurs de conteneurs (par exemple, identité kubelet du nœud Azure Kubernetes Service, Azure Container Apps, Azure Container Instances, espaces de travail Azure Machine Learning)

  • Rôle : AcrPull
  • Objectif : accorde un accès en lecture seule au plan de données pour extraire des images et des artefacts, afficher des étiquettes, des référentiels, des références OCI (Open Container Initiative) et des configurations de streaming d’artefacts. N’inclut aucune autorisation de plan de contrôle ou d’écriture.

• Scénario : identités telles que les pipelines de build CI/CD et les développeurs qui créent et envoie (push) des images, et qui gèrent des balises d’image

  • Rôle : AcrPush
  • Autorisations : accorde l’accès au plan de données pour envoyer et extraire des images et des artefacts, gérer des balises, utiliser des références OCI et configurer le streaming d’artefacts pour les référentiels et les images. N’inclut aucune autorisation de plan de contrôle.

• Scénario : pipelines, identités et développeurs qui signent des images

  • Pour signer des images avec des référents OCI, tels que Notary Project :
    • Rôle : AcrPush
    • Autorisations : accorde l’accès au plan de données pour envoyer des signatures sous la forme de références OCI attachées aux images et aux artefacts. N’inclut aucune autorisation de plan de contrôle.
  • Pour la signature d’images avec Docker Content Trust (DCT) :
    • Rôle : AcrImageSigner
    • Permissions : signez des images dans le registre avec Docker Content Trust (DCT).
    • Remarque : la confiance du contenu Docker est déconseillée.

• Scénario : pipelines, identités et développeurs qui doivent créer, mettre à jour ou supprimer des registres ACR

  • Rôle : Container Registry Contributor and Data Access Configuration Administrator
  • Autorisations :
    • Accorde l’accès au plan de contrôle pour créer, configurer, gérer et supprimer des registres, notamment :
      • configurer les SKU de registre
      • paramètres d’accès d’authentification (informations d’identification de connexion de l’utilisateur administrateur, extraction anonyme, autorisations de dépôt basées sur des jetons non-Microsoft Entra et audience de jeton Microsoft Entra pour l'authentification ARM)
      • fonctionnalités de haute disponibilité (géoréplications, zones de disponibilité et redondance de zone)
      • fonctionnalités locales (registres connectés),
      • points de terminaison de registre (points de terminaison de données dédiés)
      • accès réseau (liaison privée et paramètres de point de terminaison privé, accès réseau public, contournement des services approuvés, règles de pare-feu réseau et points de terminaison de service de réseau virtuel)
      • stratégies de registre (stratégie de rétention, activation de mise en quarantaine à l’échelle du registre, activation de suppression réversible, et stratégie d’exportation des données exfiltrées)
      • paramètres de diagnostic et de surveillance (paramètres de diagnostic, journaux, métriques, webhooks pour les registres et les géoréplications, et Event Grid)
      • gérer l’identité managée affectée par le système d’un registre
    • Remarque : ce rôle accorde des autorisations pour supprimer le Registre lui-même.
    • Remarque : ce rôle n’inclut pas d’opérations de plan de données (par exemple, push/extraction d’images), de fonctionnalités d’attribution de rôle ou de tâche ACR.
    • Remarque : pour gérer l'identité managée assignée par l'utilisateur d'un registre, la personne assignée doit également avoir le rôle Managed Identity Operator.

• Scénario : Pipelines, ingénieurs d’infrastructure ou outils d’observabilité/surveillance du plan de contrôle qui doivent répertorier les registres et afficher les configurations de registre, sans avoir accès aux images de registre

  • Rôle : Container Registry Configuration Reader and Data Access Configuration Reader
  • Autorisations : équivalent en lecture seule du rôle Container Registry Contributor and Data Access Configuration Administrator. Accorde l’accès au plan de contrôle pour afficher et répertorier les registres et inspecter les configurations de Registre, mais ne les modifie pas. N’inclut pas les opérations de plan de données (par exemple, les fonctionnalités d’envoi (push/pull) d’image ou d’attribution de rôle.

• Scénario : analyseurs et outils de vulnérabilité qui doivent auditer les registres et les configurations de Registre, ainsi que l’accès aux images de Registre pour les analyser pour détecter les vulnérabilités

  • Rôles : AcrPull et Container Registry Configuration Reader and Data Access Configuration Reader
  • Autorisations : accorde l’accès au plan de gestion pour afficher et répertorier les registres ACR, ainsi que pour auditer les configurations de registre pour l’audit et la conformité. Accorde également des autorisations pour extraire des images, des artefacts, et consulter des balises afin d'analyser des images pour détecter les vulnérabilités.

• Scénario : pipelines et identités qui orchestrent des tâches ACR

  • Rôle : Container Registry Tasks Contributor
  • Autorisations : Gérer les tâches ACR, notamment les définitions de tâches et les exécutions de tâches, les pools d’agents de tâches, les builds rapides avec az acr build et les exécutions rapides avec az acr run, et les journaux des tâches. N’inclut pas d’autorisations de plan de données ou une configuration de Registre plus large
  • Remarque : pour gérer complètement les identités de tâche, l'assigné doit avoir le Managed Identity Operator rôle.

• Scénario : identités telles que des pipelines et des développeurs qui importent des images avec az acr import

  • Rôle : Container Registry Data Importer and Data Reader
  • Autorisations : accorde l’accès au plan de contrôle pour déclencher les importations d’images utilisant az acr import, et l’accès au plan de données pour valider la réussite de l’importation (extraire les images et artefacts importés, afficher le contenu du référentiel, répertorier les références OCI et inspecter les balises importées). Ne permet pas d'envoyer ni de modifier du contenu dans le registre.

• Scénario : identités telles que des pipelines et des développeurs qui gèrent des pipelines de transfert ACR pour transférer des artefacts entre des registres à l’aide de comptes de stockage intermédiaires entre les limites de réseau, de locataire ou d’air gap

  • Rôle : Container Registry Transfer Pipeline Contributor
  • Autorisations : accorde l’accès au plan de contrôle pour gérer les pipelines de transfert d’importation/exportation ACR et les exécutions de pipeline à l’aide de comptes de stockage intermédiaires. N’inclut pas les autorisations de plan de données, l’accès au Registre plus large ou les autorisations pour gérer d’autres types de ressources Azure, tels que des comptes de stockage ou des coffres de clés.

• Scénario : Gestion des images mises en quarantaine

  • Rôles : AcrQuarantineReader et AcrQuarantineWriter
  • Autorisations : gérez les images mises en quarantaine dans le Registre, y compris la liste et l’extraction d’images mises en quarantaine pour une inspection supplémentaire et la modification de l’état de quarantaine des images. Les images mises en quarantaine sont des images envoyées (push) qui ne peuvent pas être extraites ou utilisées tant qu’elles ne sont pas sorties en quarantaine.

• Scénario : suppression d’images, d’artefacts, de balises et de références OCI

  • Rôle : AcrDelete
  • Autorisations : fournit des autorisations pour supprimer des artefacts et des balises dans tous les référentiels du Registre. Ce rôle n’accorde pas d’autorisations pour supprimer le Registre lui-même.

• Scénario : développeurs ou processus qui configurent la purge automatique du Registre pour les tâches ACR

  • Rôle : Container Registry Tasks Contributor
  • Autorisations : accorde des autorisations de plan de contrôle pour gérer le vidage automatique, qui s’exécute sur les tâches ACR.

• Scénario : Utilisateurs de l’extension Docker Visual Studio Code

  • Rôles : AcrPush, Container Registry Tasks Contributoret Container Registry Contributor and Data Access Configuration Administrator
  • Autorisations : octroie des fonctionnalités permettant de parcourir des registres, d’extraire et d’envoyer (push) des images et de générer des images à l’aide de az acr build, tout en prenant en charge les flux de travail courants pour les développeurs dans Visual Studio Code.

Étapes suivantes

• Pour effectuer des attributions de rôles avec des conditions Microsoft Entra ABAC facultatives pour étendre les attributions de rôles à des référentiels spécifiques, consultez les autorisations de référentiel Microsoft Entra.
• Pour obtenir une référence détaillée de chaque rôle intégré ACR, y compris les autorisations accordées par chaque rôle, consultez la référence du répertoire des rôles Azure Container Registry.
• Pour plus d’informations sur la création de rôles personnalisés répondant à vos besoins et exigences spécifiques, consultez rôles personnalisés Azure Container Registry.