Événements
Créer des applications intelligentes
17 mars, 21 h - 21 mars, 10 h
Rejoignez la série de rencontres pour créer des solutions IA évolutives basées sur des cas d’usage réels avec d’autres développeurs et experts.
S’inscrire maintenantComprendre l’accès à un registre connecté
Pour accéder à un registre connectéet le gérer, seule l’authentification basée sur un jeton ACR est prise en charge pour le moment. Comme indiqué dans l’image suivante, deux types de jeton sont utilisés par chaque registre connecté :
- Jetons clients : un ou plusieurs jetons que les clients locaux utilisent pour s’authentifier sur un registre connecté, et pour y pousser ou tirer des images et des artefacts.
- Jeton de synchronisation : jeton utilisé par chaque registre connecté pour accéder à son parent et synchroniser le contenu.
Important
Stockez les mots de passe de jeton de chaque registre connecté en lieu sûr. Une fois créés, les mots de passe de jeton ne peuvent pas être récupérés. Vous pouvez regénérer les mots de passe de jeton à tout moment.
Pour gérer l’accès client à un registre connecté, vous créez des jetons limités à des actions sur un ou plusieurs dépôts. Après avoir créé un jeton, configurez le registre connecté pour accepter le jeton en utilisant la commande az acr connected-registry update. Un client peut ensuite utiliser les informations d’identification du jeton pour accéder au point de terminaison d’un registre connecté, par exemple, afin d’utiliser les commandes Docker CLI pour tirer ou pousser des images dans le registre connecté.
Vos options de configuration des actions de jeton client varient selon que le registre connecté autorise à la fois les opérations de tirage ou de poussage, ou les fonctions sous forme de miroir de tirage uniquement.
- Un registre connecté en mode ReadWrite par défaut autorise à la fois les opérations de tirage et de poussage. Vous pouvez donc créer un jeton qui autorise des actions pour lire et écrire le contenu du dépôt dans ce registre.
- Pour un registre connecté en mode ReadOnly, les jetons clients peuvent uniquement autoriser des actions pour lire le contenu du dépôt.
Mettez à jour les jetons clients, les mots de passe ou les mappages d’étendue en fonction de vos besoins avec les commandes az acr token et az acr scope-map. Les mises à jour de jeton client sont propagées automatiquement aux registres connectés qui acceptent le jeton.
Chaque registre connecté utilise un jeton de synchronisation pour s’authentifier sur son parent immédiat, qui peut être un autre registre connecté ou le registre cloud. Le registre connecté utilise automatiquement ce jeton pendant la synchronisation du contenu avec le parent ou l’exécution d’autres mises à jour.
- Le jeton de synchronisation et les mots de passe sont générés automatiquement quand vous créez la ressource de registre connecté. Exécutez la commande [az acr connected-registry get-settings][/cli/azure/acr/connected-registry#az-acr-connected-registry-get-settings] pour régénérer les mots de passe.
- Ajoutez les informations d’identification du jeton de synchronisation dans la configuration utilisée pour déployer le registre connecté local.
- Par défaut, le jeton de synchronisation est autorisé à synchroniser les dépôts sélectionnés avec son parent. Vous devez fournir un jeton de synchronisation existant, ou un ou plusieurs dépôts à synchroniser quand vous créez la ressource de registre connecté.
- Il a également l’autorisation de lire et écrire des messages de synchronisation sur une passerelle utilisée pour communiquer avec le parent du registre connecté. Ces messages contrôlent la planification de la synchronisation et gèrent les autres mises à jour entre le registre connecté et son parent.
Mettez à jour les jetons de synchronisation, les mots de passe ou les mappages d’étendue en fonction de vos besoins avec les commandes az acr token et az acr scope-map. Les mises à jour des jetons de synchronisation sont propagées automatiquement sur le registre connecté. Suivez les pratiques standard de permutation des mots de passe pendant la mise à jour du jeton de synchronisation.
Notes
Le jeton de synchronisation ne peut pas être supprimé tant que le registre connecté qui lui est associé n’a pas été supprimé. Vous pouvez désactiver un registre connecté en définissant l’état du jeton de synchronisation sur disabled.
Les informations d’identification de jeton pour les registres connectés sont limitées pour accéder à des points de terminaison de registre spécifiques :
Un jeton client accède au point de terminaison du registre connecté. Le point de terminaison du registre connecté est l’URI du serveur de connexion, qui est généralement l’adresse IP du serveur ou de l’appareil qui l’héberge.
Un jeton de synchronisation accède au point de terminaison du registre parent, qui est un autre point de terminaison de registre connecté ou le registre cloud lui-même. Quand le jeton de synchronisation est limité pour accéder au registre cloud, il doit accéder à deux points de terminaison de registre :
- Le nom complet du serveur de connexion, par exemple,
contoso.azurecr.io. Ce point de terminaison est utilisé pour l’authentification. - Un point de terminaison de données régional complet pour le registre cloud, par exemple,
contoso.westus2.data.azurecr.io. Ce point de terminaison est utilisé pour échanger des messages avec le registre connecté à des fins de synchronisation.
- Le nom complet du serveur de connexion, par exemple,
Passez à l’article suivant pour en savoir plus sur les scénarios spécifiques où vous pouvez utiliser le registre connecté.
Ressources supplémentaires
Entrainement
Module
Configure Azure Container Registry for container app deployments - Training
Learn how to create and configure an Azure Container Registry, the process of pushing container images to Azure Container Registry and explore different authentication methods and security features for Azure Container Registry.
Certification
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Demonstrate the features of Microsoft Entra ID to modernize identity solutions, implement hybrid solutions, and implement identity governance.
Documentation
-
Pull Images from a Connected Registry with Azure IoT Edge - Azure Container Registry
Learn how to use Azure Container Registry CLI commands to configure a client token and pull images from a connected registry on an IoT Edge device.
-
Quickstart - Create Connected Registry Using the CLI - Azure Container Registry
Use Azure CLI commands to create a connected Azure container registry resource that can synchronize images and other artifacts with the cloud registry.
-
Quickstart - Create Connected Registry Using the Portal - Azure Container Registry
Use Azure portal to create a connected Azure container registry resource that can synchronize images and other artifacts with the cloud registry.