Tárház hatókörű engedélyekkel rendelkező jogkivonat létrehozása

  • Cikk

Ez a cikk azt ismerteti, hogyan hozhat létre jogkivonatokat és hatókör-leképezéseket a tárolóregisztrációs adatbázisban található adattárakhoz való hozzáférés kezeléséhez. Jogkivonatok létrehozásával a beállításjegyzék-tulajdonos hatókörrel rendelkező, időkorlátos hozzáférést biztosíthat a felhasználóknak vagy szolgáltatásoknak az adattárakhoz képek lekéréséhez vagy leküldéséhez vagy egyéb műveletek végrehajtásához. A jogkivonatok részletesebb engedélyeket biztosítanak, mint más beállításjegyzék-hitelesítési beállítások, amelyek hatókör-engedélyeket biztosítanak egy teljes beállításjegyzékhez.

A jogkivonatok létrehozásának gyakori forgatókönyvei a következők:

  • Lehetővé teszi, hogy az egyes jogkivonatokkal rendelkező IoT-eszközök lekérjenek egy képet egy adattárból.
  • Adjon meg egy külső szervezet számára engedélyeket egy adattár elérési útjára.
  • Korlátozza az adattár hozzáférését a szervezet különböző felhasználói csoportjaihoz. Például írási és olvasási hozzáférést biztosíthat azoknak a fejlesztőknek, akik olyan képeket készítenek, amelyek meghatározott adattárakat céloznak meg, és olvasási hozzáférést biztosítanak az ezekből az adattárakból üzembe helyező csapatoknak.

Ez a funkció az összes szolgáltatási szinten elérhető. A beállításjegyzék szolgáltatási szintjeiről és korlátairól további információt az Azure Container Registry szolgáltatásszintjeiben talál .

Korlátozások

  • Jelenleg nem rendelhet adattár-hatókörű engedélyeket Microsoft Entra-identitáshoz, például szolgáltatásnévhez vagy felügyelt identitáshoz.

Concepts

Az adattár hatókörű engedélyeinek konfigurálásához hozzon létre egy jogkivonatot egy társított hatókör-leképezéssel.

  • A jogkivonat és a létrehozott jelszó lehetővé teszi a felhasználó számára a beállításjegyzékkel való hitelesítést. Beállíthatja a jogkivonat jelszavának lejárati dátumát, vagy bármikor letilthatja a jogkivonatot.

    A jogkivonattal végzett hitelesítés után a felhasználó vagy a szolgáltatás végrehajthat egy vagy több, egy vagy több adattárra kiterjedő műveletet .

    Művelet Leírás Példa
    content/delete Adatok eltávolítása az adattárból Adattár vagy jegyzék törlése
    content/read Adatok beolvasása az adattárból Összetevő lekérése
    content/write Adatok írása az adattárba Összetevő leküldése content/read
    metadata/read Metaadatok olvasása az adattárból Címkék vagy jegyzéklisták listázása
    metadata/write Metaadatok írása az adattárba Olvasási, írási vagy törlési műveletek engedélyezése vagy letiltása

Megjegyzés:

Az adattár-hatókörű engedélyek nem támogatják a beállításjegyzékben található összes adattár katalógusának listázását.

  • A hatókör-leképezések csoportosítják a jogkivonatokra alkalmazott adattár-engedélyeket, és újra alkalmazhatják azokat más jogkivonatokra. Minden jogkivonat egyetlen hatókör-térképhez van társítva. A hatókör-megfeleltetéssel a következő lehetőségeket használhatja:

    • Több, azonos engedélyekkel rendelkező jogkivonatot konfigurálhat több adattárhoz.
    • Frissítse a jogkivonat-engedélyeket, ha a hatókörtérképen tárházműveleteket ad hozzá vagy távolít el, vagy egy másik hatókörtérképet alkalmaz.

    Az Azure Container Registry számos rendszer által definiált hatókörtérképet is biztosít, amelyeket jogkivonatok létrehozásakor alkalmazhat. A rendszer által definiált hatókörtérképek engedélyei a beállításjegyzék összes adattárára vonatkoznak. Az egyes műveletek hatókör-leképezésenként az adattárak korlátjának felelnek meg.

Az alábbi képen a jogkivonatok és a hatókörtérképek közötti kapcsolat látható.

Registry tokens and scope maps

Előfeltételek

  • Az Azure CLI – A cikkben szereplő Azure CLI-parancsok példáihoz az Azure CLI 2.17.0-s vagy újabb verziója szükséges. A verzió azonosításához futtassa a következőt: az --version. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.
  • Docker – A rendszerképek lekéréséhez vagy leküldéséhez a beállításjegyzékkel való hitelesítéshez helyi Docker-telepítésre van szükség. A Docker a macOS, Windows és Linux rendszerhez biztosít telepítési utasításokat.
  • Tárolóregisztrációs adatbázis – Ha nincs ilyen, hozzon létre egy tárolóregisztrációs adatbázist az Azure-előfizetésében. Használja például az Azure Portalt vagy az Azure CLI-t.

Jogkivonat létrehozása – parancssori felület

Jogkivonat létrehozása és adattárak megadása

Hozzon létre egy jogkivonatot az az acr token létrehozási parancsával. Jogkivonat létrehozásakor megadhat egy vagy több adattárat és kapcsolódó műveletet az egyes adattárakban. Az adattáraknak még nem kell a beállításjegyzékben lenniük. Ha egy meglévő hatókörtérkép megadásával szeretne jogkivonatot létrehozni, tekintse meg a következő szakaszt.

Az alábbi példa létrehoz egy jogkivonatot a beállításjegyzék-myregisztrációs adatbázisban a következő engedélyekkel az samples/hello-world adattárban: content/write és content/read. Alapértelmezés szerint a parancs az alapértelmezett jogkivonat állapotát enabledállítja be, de bármikor frissítheti az állapotot disabled .

az acr token create --name MyToken --registry myregistry \
  --repository samples/hello-world \
  content/write content/read \
  --output json

A kimenet a jogkivonat részleteit jeleníti meg. Alapértelmezés szerint két jelszó jön létre, amelyek nem járnak le, de megadhat egy lejárati dátumot is. Javasoljuk, hogy a jelszavakat biztonságos helyre mentse, hogy később használhassa a hitelesítéshez. A jelszavak nem kérhetők le újra, de újak hozhatók létre.

{
  "creationDate": "2020-01-18T00:15:34.066221+00:00",
  "credentials": {
    "certificates": [],
    "passwords": [
      {
        "creationTime": "2020-01-18T00:15:52.837651+00:00",
        "expiry": null,
        "name": "password1",
        "value": "uH54BxxxxK7KOxxxxRbr26dAs8JXxxxx"
      },
      {
        "creationTime": "2020-01-18T00:15:52.837651+00:00",
        "expiry": null,
        "name": "password2",
        "value": "kPX6Or/xxxxLXpqowxxxxkA0idwLtmxxxx"
      }
    ],
    "username": "MyToken"
  },
  "id": "/subscriptions/xxxxxxxx-adbd-4cb4-c864-xxxxxxxxxxxx/resourceGroups/myresourcegroup/providers/Microsoft.ContainerRegistry/registries/myregistry/tokens/MyToken",
  "name": "MyToken",
  "objectId": null,
  "provisioningState": "Succeeded",
  "resourceGroup": "myresourcegroup",
  "scopeMapId": "/subscriptions/xxxxxxxx-adbd-4cb4-c864-xxxxxxxxxxxx/resourceGroups/myresourcegroup/providers/Microsoft.ContainerRegistry/registries/myregistry/scopeMaps/MyToken-scope-map",
  "status": "enabled",
  "type": "Microsoft.ContainerRegistry/registries/tokens"
}

Megjegyzés:

A jogkivonatjelszavak és a lejárati időszakok újragenerálásához tekintse meg a jelen cikk későbbi részében található tokenjelszavak újragenerálását ismertető cikket.

A kimenet tartalmazza a létrehozott parancs hatókör-megfeleltetésének részleteit. Az itt elnevezett MyToken-scope-maphatókör-megfeleltetés használatával ugyanazokat az adattárműveleteket alkalmazhatja más jogkivonatokra. Vagy később frissítse a hatókör-térképet a társított jogkivonatok engedélyeinek módosításához.

Jogkivonat létrehozása és hatókör-leképezés megadása

A jogkivonatok létrehozásának másik módja egy meglévő hatókörtérkép megadása. Ha még nem rendelkezik hatókörtérképpel, először hozzon létre egyet az adattárak és a kapcsolódó műveletek megadásával. Ezután adja meg a hatókör-leképezést egy jogkivonat létrehozásakor.

Hatókörtérkép létrehozásához használja az az acr scope-map create parancsot. Az alábbi parancs létrehoz egy hatókör-leképezést, amely ugyanazokat az engedélyeket tartalmazza a samples/hello-world korábban használt adattárban.

az acr scope-map create --name MyScopeMap --registry myregistry \
  --repository samples/hello-world \
  content/write content/read \
  --description "Sample scope map"

A MyScopeMap-hatókörtérkép megadásával hozzon létre egy jogkivonatot az az acr token létrehozásához. Az előző példához hasonlóan a parancs az alapértelmezett jogkivonat állapotát állítja be a következőre enabled: .

az acr token create --name MyToken \
  --registry myregistry \
  --scope-map MyScopeMap

A kimenet a jogkivonat részleteit jeleníti meg. Alapértelmezés szerint két jelszó jön létre. Javasoljuk, hogy a jelszavakat biztonságos helyre mentse, hogy később használhassa a hitelesítéshez. A jelszavak nem kérhetők le újra, de újak hozhatók létre.

Megjegyzés:

A jogkivonatjelszavak és a lejárati időszakok újragenerálásához tekintse meg a jelen cikk későbbi részében található tokenjelszavak újragenerálását ismertető cikket.

Hatókörtérképek használata több adattár engedélyeinek meghatározásához és hozzárendeléséhez

A hatókör-leképezés lehetővé teszi helyettesítő karakter használatát, hogy hasonló engedélyeket adjon meg és határozzon meg több olyan adattárhoz, amelyek közös előtaggal rendelkeznek. Az adott engedélyekkel rendelkező adattárak, helyettesítő karakterrel rendelkező adattárak is használhatók ugyanabban a hatókörtérképben. Ez rugalmasan kezeli az engedélyeket több adattárhoz egyetlen hatókörtérképen.

Az adattár engedélyei akkor hozhatók létre, ha létrehoz egy hatókörtérképet, és hozzárendeli egy jogkivonathoz. Másik lehetőségként létrehozhat egy jogkivonatot, és közvetlenül hozzárendelhető egy adattárhoz.

Az alábbi példa létrehoz egy hatókör-térképet helyettesítő karakterrel, majd hozzárendeli azt egy jogkivonathoz.

az acr scope-map create --name MyScopeMapWildcard --registry myregistry \
  --repository samples/* \
  content/write content/read \
  --description "Sample scope map with wildcards"
az acr token create --name MyTokenWildcard \
  --registry myregistry \
  --scope-map MyScopeMapWildcard

Az alábbi példa egy helyettesítő karaktert tartalmazó jogkivonatot hoz létre.

 az acr token create --name MyTokenWildcard --registry myregistry \
  --repository samples/* \
  content/write content/read \

A helyettesítő karakterek engedélyei additívek, ami azt jelenti, hogy egy adott tárház elérésekor az eredményül kapott engedélyek tartalmazzák a helyettesítő karakter előtagjának megfelelő hatókör-leképezési szabályok engedélyeit.

Ebben a példában a hatókörtérkép három különböző típusú adattár engedélyeit határozza meg:

Adattár Permission
sample/* content/read
sample/teamA/* content/write
sample/teamA/projectB content/delete

A jogkivonat hatókör-leképezéssel rendelkeziksample/teamA/projectB, amely engedélyeket ad [content/read, content/write, content/delete] az adattárhoz való hozzáféréshez. Ha azonban ugyanazt a jogkivonatot használja az sample/teamA/projectC adattár eléréséhez, csak engedélyekkel rendelkezik [content/read, content/write] .

Fontos

A hatókörtérképen helyettesítő karaktereket használó adattáraknak mindig egy /* utótaggal kell végződnie, hogy érvényesek legyenek, és egyetlen helyettesítő karakterrel kell rendelkezniük az adattár nevére. Íme néhány példa az érvénytelen helyettesítő karakterekre:

  • sample/*/teamA az adattár nevének közepén egy helyettesítő karakterrel.
  • sample/teamA* helyettesítő karakterrel nem "/*" végződésű.
  • sample/teamA/*/projectB/* több helyettesítő karakterrel az adattár nevében.

Gyökérszintű helyettesítő karakterek

A helyettesítő karakterek gyökérszinten is alkalmazhatók. Ez azt jelenti, hogy a *megadott adattárhoz rendelt engedélyek a beállításjegyzék széles hányadát fogják alkalmazni.

A példa bemutatja, hogyan hozhat létre olyan jogkivonatot egy gyökérszintű helyettesítő karakterrel, amely a beállításjegyzék összes adattárának jogkivonat-engedélyeket [content/read, content/write] adna. Ez egyszerű módot kínál arra, hogy engedélyeket adjon a beállításjegyzék összes adattárának anélkül, hogy külön-külön kellene megadnia az egyes adattárakat.

 az acr token create --name MyTokenWildcard --registry myregistry \
  --repository * \
  content/write content/read \

Fontos

Ha egy helyettesítő szabály olyan adattárat foglal magában, amely még nem létezik, a helyettesítő karakterekre vonatkozó engedélyek továbbra is érvényesek lesznek az adattár nevére. Például egy olyan jogkivonat, amely egy hatókörtérképhez van rendelve, amely engedélyeket ad [content/write, metadata/write] az adattárakhoz sample/* . Tegyük fel továbbá, hogy az adattár sample/teamC/teamCimage még nem létezik. A jogkivonat rendelkezik a képek adattárba való sample/teamC/teamCimageleküldéséhez szükséges engedélyekkel, amelyek egyidejűleg létrehozzák az adattárat a sikeres leküldéskor.

Jogkivonat létrehozása – portál

Az Azure Portal használatával jogkivonatokat és hatókör-térképeket hozhat létre. A CLI-parancshoz az acr token create hasonlóan alkalmazhat egy meglévő hatókörtérképet, vagy létrehozhat egy hatókörtérképet egy jogkivonat létrehozásakor egy vagy több tárház és kapcsolódó művelet megadásával. Az adattáraknak még nem kell a beállításjegyzékben lenniük.

Az alábbi példa létrehoz egy jogkivonatot, és létrehoz egy hatókör-térképet az samples/hello-world adattár következő engedélyeivel: content/write és content/read.

  1. A portálon keresse meg a tárolóregisztrációs adatbázist.

  2. Az Adattár engedélyei csoportban válassza a Jogkivonatok > +Hozzáadás lehetőséget.

    Create token in portal

  3. Adjon meg egy jogkivonatnevet.

  4. A Hatókörtérkép területen válassza az Új létrehozása lehetőséget.

  5. A hatókörtérkép konfigurálása:

    1. Adja meg a hatókör-térkép nevét és leírását.

    2. Az Adattárak területen adja megsamples/hello-world, majd az Engedélyek területen válassza ki content/read éscontent/write. Ezután válassza a +Hozzáadás lehetőséget.

      Create scope map in portal

    3. Az adattárak és engedélyek hozzáadása után válassza a Hozzáadás lehetőséget a hatókörtérkép hozzáadásához.

  6. Fogadja el az Engedélyezett alapértelmezett jogkivonat-állapotot , majd válassza a Létrehozás lehetőséget.

A jogkivonat érvényesítése és létrehozása után a jogkivonat részletei megjelennek a Jogkivonatok képernyőn.

Jogkivonat jelszavának hozzáadása

A portálon létrehozott jogkivonat használatához létre kell hoznia egy jelszót. Létrehozhat egy vagy két jelszót, és mindegyikhez beállíthat lejárati dátumot. A jogkivonatokhoz létrehozott új jelszavak azonnal elérhetők. A tokenek új jelszavainak újragenerálása 60 másodpercet vesz igénybe a replikáláshoz, és elérhető lesz.

  1. A portálon keresse meg a tárolóregisztrációs adatbázist.

  2. Az Adattár engedélyei csoportban válassza a Jogkivonatok lehetőséget, és válasszon ki egy jogkivonatot.

  3. A jogkivonat részletei között válassza a jelszó1 vagy a jelszó2 lehetőséget, majd válassza a Létrehozás ikont.

  4. A jelszó képernyőjén adja meg a jelszó lejárati dátumát, és válassza a Létrehozás lehetőséget. Ajánlott lejárati dátumot beállítani.

  5. Jelszó létrehozása után másolja és mentse biztonságos helyre. A képernyő bezárása után nem lehet lekérni a létrehozott jelszót, de létrehozhat egy újat.

    Create token password in portal

Hitelesítés jogkivonattal

Amikor egy felhasználó vagy szolgáltatás jogkivonatot használ a célregisztrációs adatbázissal való hitelesítéshez, a jogkivonat nevét felhasználónévként és az egyik létrehozott jelszóként adja meg.

A hitelesítési módszer a jogkivonathoz társított konfigurált művelettől vagy műveletektől függ.

Action Hitelesítés
content/delete az acr repository delete az Azure CLI-ben

Example: az acr repository delete --name myregistry --repository myrepo --username MyToken --password xxxxxxxxxx
content/read docker login

az acr login az Azure CLI-ben

Example: az acr login --name myregistry --username MyToken --password xxxxxxxxxx
content/write docker login

az acr login az Azure CLI-ben
metadata/read az acr repository show

az acr repository show-tags

az acr manifest list-metadata az Azure CLI-ben
metadata/write az acr repository untag

az acr repository update az Azure CLI-ben

Példák: Jogkivonat használata

Az alábbi példák a cikkben korábban létrehozott jogkivonatot használják az adattárak gyakori műveleteinek végrehajtásához: képek leküldése és lekérése, képek törlése és tárházcímkék listázása. A jogkivonat kezdetben leküldéses engedélyekkel (content/write és content/read műveletekkel) lett beállítva az samples/hello-world adattárban.

Tesztképek lekérése és címkézése

Az alábbi példákban lekérheti a nyilvános hello-world és nginx a rendszerképeket a Microsoft Container Registryből, és címkézheti őket a beállításjegyzékhez és az adattárhoz.

docker pull mcr.microsoft.com/hello-world
docker pull mcr.microsoft.com/oss/nginx/nginx:1.15.5-alpine
docker tag mcr.microsoft.com/hello-world myregistry.azurecr.io/samples/hello-world:v1
docker tag mcr.microsoft.com/oss/nginx/nginx:1.15.5-alpine myregistry.azurecr.io/samples/nginx:v1

Hitelesítés jogkivonat használatával

A rendszerképek leküldéséhez vagy lekéréséhez futtassa docker login vagy az acr login hitelesítse a beállításjegyzékkel. Adja meg a jogkivonat nevét felhasználónévként, és adja meg az egyik jelszavát. A jogkivonatnak állapottal kell rendelkeznie Enabled .

Az alábbi példa a bash-rendszerhéjhoz van formázva, és környezeti változók használatával adja meg az értékeket.

TOKEN_NAME=MyToken
TOKEN_PWD=<token password>

echo $TOKEN_PWD | docker login --username $TOKEN_NAME --password-stdin myregistry.azurecr.io

A kimenetnek sikeres hitelesítést kell mutatnia:

Login Succeeded

Rendszerképek leküldése a regisztrációs adatbázisba

A sikeres bejelentkezés után próbálja meg leküldni a címkézett képeket a beállításjegyzékbe. Mivel a jogkivonat jogosult képek leküldésére az samples/hello-world adattárba, a következő leküldés sikeres:

docker push myregistry.azurecr.io/samples/hello-world:v1

A jogkivonat nem rendelkezik engedélyekkel az samples/nginx adattárhoz, ezért a következő leküldéses kísérlet a következőhöz requested access to the resource is deniedhasonló hibával meghiúsul:

docker push myregistry.azurecr.io/samples/nginx:v1

Jogkivonat-engedélyek frissítése

Egy jogkivonat engedélyeinek frissítéséhez frissítse az engedélyeket a társított hatókör-térképen. A frissített hatókör-megfeleltetés azonnal alkalmazva lesz az összes társított jogkivonatra.

Frissítsen például MyToken-scope-map az adattárral és content/read a samples/ngnx műveletekkelcontent/write, és távolítsa el a content/write műveletet az samples/hello-world adattárból.

Az Azure CLI használatához futtassa az az acr scope-map frissítést a hatókörtérkép frissítéséhez:

az acr scope-map update \
  --name MyScopeMap \
  --registry myregistry \
  --add-repository samples/nginx content/write content/read \
  --remove-repository samples/hello-world content/write

In the Azure portal:

  1. Lépjen a tárolóregisztrációs adatbázishoz.
  2. Az Adattár engedélyei csoportban válassza a Hatókörtérképek lehetőséget, és válassza ki a frissíteni kívánt hatókör-térképet.
  3. Az Adattárak területen adja megsamples/nginx, majd az Engedélyek területen válassza ki content/read éscontent/write. Ezután válassza a +Hozzáadás lehetőséget.
  4. Az Adattárak területen válassza ki samples/hello-world az Engedélyek lehetőséget, majd az Engedélyek területen törölje a jelöléstcontent/write. Ezután válassza a Mentés lehetőséget.

A hatókör-megfeleltetés frissítése után a következő leküldés sikeres:

docker push myregistry.azurecr.io/samples/nginx:v1

Mivel a hatókör-megfeleltetés csak az content/readsamples/hello-world adattár engedélyével rendelkezik, az samples/hello-world adattárba irányuló leküldéses kísérlet meghiúsul:

docker push myregistry.azurecr.io/samples/hello-world:v1

A képek mindkét adattárból való lekérése sikeres, mert a hatókörtérkép mindkét adattárhoz biztosít content/read engedélyeket:

docker pull myregistry.azurecr.io/samples/nginx:v1
docker pull myregistry.azurecr.io/samples/hello-world:v1

Rendszerképek törlése

Frissítse a hatókör-leképezést úgy, hogy hozzáadja a content/delete műveletet az nginx adattárhoz. Ez a művelet lehetővé teszi a képek törlését az adattárban, vagy a teljes adattár törlését.

A rövidség kedvéért csak az az acr scope-map update parancsot jelenítjük meg a hatókörtérkép frissítéséhez:

az acr scope-map update \
  --name MyScopeMap \
  --registry myregistry \
  --add-repository samples/nginx content/delete

A hatókörtérkép portálon való frissítéséhez tekintse meg az előző szakaszt.

Az adattár törléséhez használja az alábbi az acr-adattár samples/nginx törlési parancsát. Képek vagy adattárak törléséhez adja át a jogkivonat nevét és jelszavát a parancsnak. Az alábbi példa a cikkben korábban létrehozott környezeti változókat használja:

az acr repository delete \
  --name myregistry --repository samples/nginx \
  --username $TOKEN_NAME --password $TOKEN_PWD

Adattárcímkék megjelenítése

Frissítse a hatókör-leképezést úgy, hogy hozzáadja a metadata/read műveletet az hello-world adattárhoz. Ez a művelet lehetővé teszi a jegyzékadatok olvasását és az adatok címkézését az adattárban.

A rövidség kedvéért csak az az acr scope-map update parancsot jelenítjük meg a hatókörtérkép frissítéséhez:

az acr scope-map update \
  --name MyScopeMap \
  --registry myregistry \
  --add-repository samples/hello-world metadata/read

A hatókörtérkép portálon való frissítéséhez tekintse meg az előző szakaszt.

Ha metaadatokat szeretne olvasni az samples/hello-world adattárban, futtassa az az acr manifest list-metadata vagy az acr repository show-tags parancsot.

A metaadatok olvasásához adja át a jogkivonat nevét és jelszavát bármelyik parancsnak. Az alábbi példa a cikkben korábban létrehozott környezeti változókat használja:

az acr repository show-tags \
  --name myregistry --repository samples/hello-world \
  --username $TOKEN_NAME --password $TOKEN_PWD

Sample output:

[
  "v1"
]

Jogkivonatok és hatókörtérképek kezelése

Hatókörtérképek listázása

A beállításjegyzékben konfigurált hatókörtérképek felsorolásához használja az az acr scope-map list parancsot vagy a portál Hatókörtérképek képernyőjét. Például:

az acr scope-map list \
  --registry myregistry --output table

A kimenet a három rendszer által meghatározott hatókörtérképből és az Ön által létrehozott egyéb hatókörtérképekből áll. A jogkivonatok ezen hatókörtérképek bármelyikével konfigurálhatók.

NAME                 TYPE           CREATION DATE         DESCRIPTION
-------------------  -------------  --------------------  ------------------------------------------------------------
_repositories_admin  SystemDefined  2020-01-20T09:44:24Z  Can perform all read, write and delete operations on the ...
_repositories_pull   SystemDefined  2020-01-20T09:44:24Z  Can pull any repository of the registry
_repositories_push   SystemDefined  2020-01-20T09:44:24Z  Can push to any repository of the registry
MyScopeMap           UserDefined    2019-11-15T21:17:34Z  Sample scope map

Jogkivonat részleteinek megjelenítése

Egy jogkivonat részleteinek( például állapotának és a jelszó lejárati dátumainak) megtekintéséhez futtassa az az acr token show parancsot, vagy válassza ki a jogkivonatot a Jogkivonatok képernyőn a portálon. Például:

az acr scope-map show \
  --name MyScopeMap --registry myregistry

A beállításjegyzékben konfigurált összes jogkivonat listázásához használja az az acr tokenlista parancsot vagy a portál Jogkivonatok képernyőjét. Például:

az acr token list --registry myregistry --output table

Jogkivonatjelszavak újragenerálása

Ha nem hozott létre jogkivonatjelszót, vagy új jelszavakat szeretne létrehozni, futtassa az az acr token hitelesítőadat-generálási parancsát. A tokenek új jelszavainak újragenerálása 60 másodpercet vesz igénybe a replikáláshoz, és elérhető lesz.

Az alábbi példa egy új értéket hoz létre a MyToken-jogkivonat 1. jelszavához, amelynek lejárati ideje 30 nap. A jelszót a környezeti változóban TOKEN_PWDtárolja. Ez a példa a bash-rendszerhéjhoz van formázva.

TOKEN_PWD=$(az acr token credential generate \
  --name MyToken --registry myregistry --expiration-in-days 30 \
  --password1 --query 'passwords[0].value' --output tsv)

Ha az Azure Portal használatával szeretne jogkivonatjelszót létrehozni, tekintse meg a jelen cikk korábbi, Jogkivonat létrehozása – portál című szakaszának lépéseit.

Jogkivonat frissítése új hatókörtérképpel

Ha egy jogkivonatot egy másik hatókörtérképpel szeretne frissíteni, futtassa az az acr tokenfrissítést , és adja meg az új hatókörtérképet. Például:

az acr token update --name MyToken --registry myregistry \
  --scope-map MyNewScopeMap

A portál Jogkivonatok képernyőjén válassza ki a jogkivonatot, és a Hatókörtérkép alatt válasszon egy másik hatókörtérképet.

Tipp.

Miután frissített egy jogkivonatot egy új hatókör-térképpel, érdemes lehet új jogkivonatjelszavakat létrehoznia. Használja az az acr token hitelesítőadat-generáló parancsát, vagy hozzon létre egy jogkivonatjelszót az Azure Portalon.

Jogkivonat letiltása vagy törlése

Előfordulhat, hogy átmenetileg le kell tiltania a jogkivonat hitelesítő adatainak használatát egy felhasználó vagy szolgáltatás számára.

Az Azure CLI használatával futtassa az az acr tokenfrissítési parancsot a status következő érték beállításához disabled:

az acr token update --name MyToken --registry myregistry \
  --status disabled

A portálon válassza ki a jogkivonatot a Jogkivonatok képernyőn, és válassza az Állapot csoportban a Letiltva lehetőséget.

Ha törölni szeretne egy jogkivonatot, hogy a hitelesítő adatait használó bárki véglegesen érvénytelenítse a hozzáférést, futtassa az az acr token törlési parancsát.

az acr token delete --name MyToken --registry myregistry

A portálon válassza ki a jogkivonatot a Jogkivonatok képernyőn, és válassza az Elvetés lehetőséget.

További lépések

  • A hatókör-térképek és -jogkivonatok kezeléséhez használjon további parancsokat az az acr scope-map és az az acr token parancscsoportokban.
  • Tekintse meg az Azure-tárolóregisztrációs adatbázissal történő hitelesítés egyéb lehetőségeit, beleértve a Microsoft Entra-identitás, a szolgáltatásnév vagy a rendszergazdai fiók használatát.
  • Ismerje meg a csatlakoztatott regisztrációs adatbázisokat, és használjon jogkivonatokat a hozzáféréshez.