A megbízható szolgáltatások biztonságos hozzáférésének engedélyezése a hálózat által korlátozott tárolóregisztrációs adatbázishoz
Azure Container Registry engedélyezheti, hogy a megbízható Azure-szolgáltatások hozzáférjenek egy hálózati hozzáférési szabályokkal konfigurált beállításjegyzékhez. Megbízható szolgáltatások engedélyezése esetén egy megbízható szolgáltatáspéldány biztonságosan megkerülheti a beállításjegyzék hálózati szabályait, és végrehajthat olyan műveleteket, mint a lekéréses vagy leküldéses rendszerképek. Ez a cikk bemutatja, hogyan engedélyezheti és használhatja a megbízható szolgáltatásokat egy hálózatra korlátozott Azure-tárolóregisztrációs adatbázissal.
A jelen cikkben szereplő parancsok futtatásához használja az Azure Cloud Shell vagy az Azure CLI helyi telepítését. Ha helyileg szeretné használni, a 2.18-es vagy újabb verzióra van szükség. A verzió azonosításához futtassa a következőt: az --version
. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.
Korlátozások
- Bizonyos, megbízható szolgáltatásokkal rendelkező beállításjegyzék-hozzáférési forgatókönyvekhez felügyelt identitásra van szükség az Azure-erőforrásokhoz. Kivéve, ha a felhasználó által hozzárendelt felügyelt identitás támogatott, csak rendszer által hozzárendelt identitás használható.
- A megbízható szolgáltatások engedélyezése nem vonatkozik a szolgáltatásvégponttal konfigurált tárolóregisztrációs adatbázisra. A funkció csak a privát végponttal korlátozott vagy nyilvános IP-hozzáférési szabályokkal rendelkező regisztrációs adatbázisokat érinti.
A megbízható szolgáltatások ismertetése
Azure Container Registry egy rétegzett biztonsági modellel rendelkezik, amely több hálózati konfigurációt támogat, amelyek korlátozzák a beállításjegyzékhez való hozzáférést, beleértve a következőket:
- Privát végpont Azure Private Link. Ha konfigurálva van, a beállításjegyzék privát végpontja csak a virtuális hálózaton belüli erőforrások számára érhető el privát IP-címekkel.
- A beállításjegyzék tűzfalszabályai, amelyek csak bizonyos nyilvános IP-címekről vagy címtartományokból engedélyezik a hozzáférést a beállításjegyzék nyilvános végpontjaihoz. A tűzfalat úgy is konfigurálhatja, hogy privát végpontok használata esetén letiltsa a nyilvános végponthoz való hozzáférést.
Ha virtuális hálózaton van üzembe helyezve, vagy tűzfalszabályokkal van konfigurálva, a beállításjegyzék letiltja a felhasználókhoz vagy szolgáltatásokhoz való hozzáférést ezen forrásokon kívülről.
Számos több-bérlős Azure-szolgáltatás olyan hálózatokból működik, amelyek nem vehetők fel ezekbe a beállításjegyzék-hálózati beállításokba, így nem hajthatnak végre olyan műveleteket, mint a lemezképek lekérése vagy leküldése a beállításjegyzékbe. Ha bizonyos szolgáltatáspéldányokat "megbízhatóként" jelöl ki, a beállításjegyzék tulajdonosa engedélyezheti, hogy az Azure-erőforrások kiválasztása biztonságosan megkerülje a beállításjegyzék hálózati beállításait a beállításjegyzék-műveletek végrehajtásához.
Megbízható szolgáltatások
Az alábbi szolgáltatások példányai hozzáférhetnek egy hálózati korlátozású tárolóregisztrációs adatbázishoz, ha a beállításjegyzékben engedélyezve van a megbízható szolgáltatások engedélyezése beállítás (az alapértelmezett). Idővel további szolgáltatások lesznek hozzáadva.
A megbízható szolgáltatáshoz való hozzáféréshez szükség van egy felügyelt identitás további konfigurálásához egy szolgáltatáspéldányban, egy RBAC-szerepkör hozzárendelésére és a beállításjegyzékkel való hitelesítésre. Ilyen lépések például a megbízható szolgáltatások munkafolyamata, amelyről a cikk későbbi részében olvashat.
Megbízható szolgáltatás | Támogatott használati forgatókönyvek | Felügyelt identitás konfigurálása RBAC-szerepkörrel |
---|---|---|
Azure Container Instances | Üzembe helyezés Azure Container Instances Azure Container Registry egy felügyelt identitás használatával | Igen, rendszer által hozzárendelt vagy felhasználó által hozzárendelt identitás |
Microsoft Defender for Cloud | Tárolóregisztrációs adatbázisok biztonságirés-vizsgálata Microsoft Defender alapján | No |
ACR-feladatok | Hozzáférés a szülőregisztrációs adatbázishoz vagy egy ACR-tevékenységtől eltérő beállításjegyzékhez | Yes |
Machine Learning | Modell üzembe helyezése vagy betanítása Machine Learning-munkaterületen egyéni Docker-tárolórendszerkép használatával | Yes |
Azure Container Registry | Rendszerképek importálása hálózatra korlátozott Azure-tárolóregisztrációs adatbázisba vagy onnan | No |
Megjegyzés
A megbízható szolgáltatások engedélyezése beállítás engedélyezése nem vonatkozik a App Service.
Megbízható szolgáltatások engedélyezése – parancssori felület
Alapértelmezés szerint a megbízható szolgáltatások engedélyezése beállítás engedélyezve van egy új Azure-tárolóregisztrációs adatbázisban. Tiltsa le vagy engedélyezze a beállítást az az acr update parancs futtatásával.
Letiltás:
az acr update --name myregistry --allow-trusted-services false
Ha engedélyezni szeretné a beállítást egy meglévő beállításjegyzékben vagy egy olyan beállításjegyzékben, ahol már le van tiltva:
az acr update --name myregistry --allow-trusted-services true
Megbízható szolgáltatások engedélyezése – portál
Alapértelmezés szerint a megbízható szolgáltatások engedélyezése beállítás engedélyezve van egy új Azure-tárolóregisztrációs adatbázisban.
A beállítás letiltása vagy újbóli engedélyezése a portálon:
- A portálon keresse meg a tárolóregisztrációs adatbázist.
- A Beállítások területen válassza a Hálózat lehetőséget.
- A Nyilvános hálózati hozzáférés engedélyezése területen válassza a Kijelölt hálózatok vagy a Letiltva lehetőséget.
- Tegye a következők egyikét:
- A megbízható szolgáltatások hozzáférésének letiltásához a Tűzfalkivétel területen törölje a jelet A megbízható Microsoft-szolgáltatások hozzáférésének engedélyezése a tárolóregisztrációs adatbázishoz jelölőnégyzetből.
- A megbízható szolgáltatások engedélyezéséhez a Tűzfalkivétel területen jelölje be A megbízható Microsoft-szolgáltatások hozzáférésének engedélyezése a tárolóregisztrációs adatbázishoz jelölőnégyzetet.
- Kattintson a Mentés gombra.
Megbízható szolgáltatások munkafolyamata
Az alábbiakban egy tipikus munkafolyamatot mutatunk be, amely lehetővé teszi egy megbízható szolgáltatás egy példányának hozzáférését egy korlátozott hálózati tárolóregisztrációs adatbázishoz. Erre a munkafolyamatra akkor van szükség, ha egy szolgáltatáspéldány felügyelt identitását használják a beállításjegyzék hálózati szabályainak megkerüléséhez.
- Engedélyezze a felügyelt identitást a Azure Container Registry egyik megbízható szolgáltatásának egy példányában.
- Rendelje hozzá az identitást egy Azure-szerepkörhöz a beállításjegyzékhez. Rendelje hozzá például az ACRPull szerepkört a tárolórendszerképek lekéréséhez.
- A hálózat által korlátozott beállításjegyzékben konfigurálja a beállítást a megbízható szolgáltatások általi hozzáférés engedélyezéséhez.
- Az identitás hitelesítő adataival hitelesíthet a hálózat által korlátozott beállításjegyzékkel.
- Lemezképek lekérése a beállításjegyzékből, vagy a szerepkör által engedélyezett egyéb műveletek végrehajtása.
Példa: ACR-feladatok
Az alábbi példa az ACR-feladatok megbízható szolgáltatásként való használatát mutatja be. A feladat részleteiért lásd: Adatbázisközi hitelesítés egy ACR-feladatban azure-beli felügyelt identitás használatával .
- Azure-tárolóregisztrációs adatbázis létrehozása vagy frissítése.
Hozzon létre egy ACR-feladatot.
- Rendszer által hozzárendelt felügyelt identitás engedélyezése a feladat létrehozásakor.
- Tiltsa le a tevékenység alapértelmezett hitelesítési módját (
--auth-mode None
).
- Rendelje hozzá a feladatidentitást egy Azure-szerepkörhöz a beállításjegyzék eléréséhez. Rendelje hozzá például az AcrPush szerepkört, amely rendelkezik a képek lekéréséhez és leküldéséhez szükséges engedélyekkel.
- Adjon hozzá felügyelt identitás hitelesítő adatokat a beállításjegyzékhez a feladathoz.
- Annak ellenőrzéséhez, hogy a tevékenység megfelel-e a hálózati korlátozásoknak, tiltsa le a nyilvános hozzáférést a beállításjegyzékben.
- Futtassa a feladatot. Ha a beállításjegyzék és a feladat megfelelően van konfigurálva, a feladat sikeresen lefut, mert a beállításjegyzék engedélyezi a hozzáférést.
A hozzáférés megbízható szolgáltatások általi letiltásának tesztelése:
- Tiltsa le a beállítást a megbízható szolgáltatások általi hozzáférés engedélyezéséhez.
- Futtassa újra a feladatot. Ebben az esetben a feladat futtatása meghiúsul, mert a beállításjegyzék már nem engedélyezi a tevékenység általi hozzáférést.
Következő lépések
- Ha egy virtuális hálózat privát végpontja használatával szeretné korlátozni a hozzáférést egy beállításjegyzékhez, olvassa el a Azure Private Link konfigurálása Azure-tárolóregisztrációs adatbázishoz című témakört.
- A beállításjegyzék tűzfalszabályainak beállításához lásd: Nyilvános IP-hálózati szabályok konfigurálása.