A megbízható szolgáltatások biztonságos hozzáférésének engedélyezése a hálózat által korlátozott tárolóregisztrációs adatbázishoz

Azure Container Registry engedélyezheti, hogy a megbízható Azure-szolgáltatások hozzáférjenek egy hálózati hozzáférési szabályokkal konfigurált beállításjegyzékhez. Megbízható szolgáltatások engedélyezése esetén egy megbízható szolgáltatáspéldány biztonságosan megkerülheti a beállításjegyzék hálózati szabályait, és végrehajthat olyan műveleteket, mint a lekéréses vagy leküldéses rendszerképek. Ez a cikk bemutatja, hogyan engedélyezheti és használhatja a megbízható szolgáltatásokat egy hálózatra korlátozott Azure-tárolóregisztrációs adatbázissal.

A jelen cikkben szereplő parancsok futtatásához használja az Azure Cloud Shell vagy az Azure CLI helyi telepítését. Ha helyileg szeretné használni, a 2.18-es vagy újabb verzióra van szükség. A verzió azonosításához futtassa a következőt: az --version. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.

Korlátozások

A megbízható szolgáltatások ismertetése

Azure Container Registry egy rétegzett biztonsági modellel rendelkezik, amely több hálózati konfigurációt támogat, amelyek korlátozzák a beállításjegyzékhez való hozzáférést, beleértve a következőket:

  • Privát végpont Azure Private Link. Ha konfigurálva van, a beállításjegyzék privát végpontja csak a virtuális hálózaton belüli erőforrások számára érhető el privát IP-címekkel.
  • A beállításjegyzék tűzfalszabályai, amelyek csak bizonyos nyilvános IP-címekről vagy címtartományokból engedélyezik a hozzáférést a beállításjegyzék nyilvános végpontjaihoz. A tűzfalat úgy is konfigurálhatja, hogy privát végpontok használata esetén letiltsa a nyilvános végponthoz való hozzáférést.

Ha virtuális hálózaton van üzembe helyezve, vagy tűzfalszabályokkal van konfigurálva, a beállításjegyzék letiltja a felhasználókhoz vagy szolgáltatásokhoz való hozzáférést ezen forrásokon kívülről.

Számos több-bérlős Azure-szolgáltatás olyan hálózatokból működik, amelyek nem vehetők fel ezekbe a beállításjegyzék-hálózati beállításokba, így nem hajthatnak végre olyan műveleteket, mint a lemezképek lekérése vagy leküldése a beállításjegyzékbe. Ha bizonyos szolgáltatáspéldányokat "megbízhatóként" jelöl ki, a beállításjegyzék tulajdonosa engedélyezheti, hogy az Azure-erőforrások kiválasztása biztonságosan megkerülje a beállításjegyzék hálózati beállításait a beállításjegyzék-műveletek végrehajtásához.

Megbízható szolgáltatások

Az alábbi szolgáltatások példányai hozzáférhetnek egy hálózati korlátozású tárolóregisztrációs adatbázishoz, ha a beállításjegyzékben engedélyezve van a megbízható szolgáltatások engedélyezése beállítás (az alapértelmezett). Idővel további szolgáltatások lesznek hozzáadva.

A megbízható szolgáltatáshoz való hozzáféréshez szükség van egy felügyelt identitás további konfigurálásához egy szolgáltatáspéldányban, egy RBAC-szerepkör hozzárendelésére és a beállításjegyzékkel való hitelesítésre. Ilyen lépések például a megbízható szolgáltatások munkafolyamata, amelyről a cikk későbbi részében olvashat.

Megbízható szolgáltatás Támogatott használati forgatókönyvek Felügyelt identitás konfigurálása RBAC-szerepkörrel
Azure Container Instances Üzembe helyezés Azure Container Instances Azure Container Registry egy felügyelt identitás használatával Igen, rendszer által hozzárendelt vagy felhasználó által hozzárendelt identitás
Microsoft Defender for Cloud Tárolóregisztrációs adatbázisok biztonságirés-vizsgálata Microsoft Defender alapján No
ACR-feladatok Hozzáférés a szülőregisztrációs adatbázishoz vagy egy ACR-tevékenységtől eltérő beállításjegyzékhez Yes
Machine Learning Modell üzembe helyezése vagy betanítása Machine Learning-munkaterületen egyéni Docker-tárolórendszerkép használatával Yes
Azure Container Registry Rendszerképek importálása hálózatra korlátozott Azure-tárolóregisztrációs adatbázisba vagy onnan No

Megjegyzés

A megbízható szolgáltatások engedélyezése beállítás engedélyezése nem vonatkozik a App Service.

Megbízható szolgáltatások engedélyezése – parancssori felület

Alapértelmezés szerint a megbízható szolgáltatások engedélyezése beállítás engedélyezve van egy új Azure-tárolóregisztrációs adatbázisban. Tiltsa le vagy engedélyezze a beállítást az az acr update parancs futtatásával.

Letiltás:

az acr update --name myregistry --allow-trusted-services false

Ha engedélyezni szeretné a beállítást egy meglévő beállításjegyzékben vagy egy olyan beállításjegyzékben, ahol már le van tiltva:

az acr update --name myregistry --allow-trusted-services true

Megbízható szolgáltatások engedélyezése – portál

Alapértelmezés szerint a megbízható szolgáltatások engedélyezése beállítás engedélyezve van egy új Azure-tárolóregisztrációs adatbázisban.

A beállítás letiltása vagy újbóli engedélyezése a portálon:

  1. A portálon keresse meg a tárolóregisztrációs adatbázist.
  2. A Beállítások területen válassza a Hálózat lehetőséget.
  3. A Nyilvános hálózati hozzáférés engedélyezése területen válassza a Kijelölt hálózatok vagy a Letiltva lehetőséget.
  4. Tegye a következők egyikét:
    • A megbízható szolgáltatások hozzáférésének letiltásához a Tűzfalkivétel területen törölje a jelet A megbízható Microsoft-szolgáltatások hozzáférésének engedélyezése a tárolóregisztrációs adatbázishoz jelölőnégyzetből.
    • A megbízható szolgáltatások engedélyezéséhez a Tűzfalkivétel területen jelölje be A megbízható Microsoft-szolgáltatások hozzáférésének engedélyezése a tárolóregisztrációs adatbázishoz jelölőnégyzetet.
  5. Kattintson a Mentés gombra.

Megbízható szolgáltatások munkafolyamata

Az alábbiakban egy tipikus munkafolyamatot mutatunk be, amely lehetővé teszi egy megbízható szolgáltatás egy példányának hozzáférését egy korlátozott hálózati tárolóregisztrációs adatbázishoz. Erre a munkafolyamatra akkor van szükség, ha egy szolgáltatáspéldány felügyelt identitását használják a beállításjegyzék hálózati szabályainak megkerüléséhez.

  1. Engedélyezze a felügyelt identitást a Azure Container Registry egyik megbízható szolgáltatásának egy példányában.
  2. Rendelje hozzá az identitást egy Azure-szerepkörhöz a beállításjegyzékhez. Rendelje hozzá például az ACRPull szerepkört a tárolórendszerképek lekéréséhez.
  3. A hálózat által korlátozott beállításjegyzékben konfigurálja a beállítást a megbízható szolgáltatások általi hozzáférés engedélyezéséhez.
  4. Az identitás hitelesítő adataival hitelesíthet a hálózat által korlátozott beállításjegyzékkel.
  5. Lemezképek lekérése a beállításjegyzékből, vagy a szerepkör által engedélyezett egyéb műveletek végrehajtása.

Példa: ACR-feladatok

Az alábbi példa az ACR-feladatok megbízható szolgáltatásként való használatát mutatja be. A feladat részleteiért lásd: Adatbázisközi hitelesítés egy ACR-feladatban azure-beli felügyelt identitás használatával .

  1. Azure-tárolóregisztrációs adatbázis létrehozása vagy frissítése. Hozzon létre egy ACR-feladatot.
    • Rendszer által hozzárendelt felügyelt identitás engedélyezése a feladat létrehozásakor.
    • Tiltsa le a tevékenység alapértelmezett hitelesítési módját (--auth-mode None).
  2. Rendelje hozzá a feladatidentitást egy Azure-szerepkörhöz a beállításjegyzék eléréséhez. Rendelje hozzá például az AcrPush szerepkört, amely rendelkezik a képek lekéréséhez és leküldéséhez szükséges engedélyekkel.
  3. Adjon hozzá felügyelt identitás hitelesítő adatokat a beállításjegyzékhez a feladathoz.
  4. Annak ellenőrzéséhez, hogy a tevékenység megfelel-e a hálózati korlátozásoknak, tiltsa le a nyilvános hozzáférést a beállításjegyzékben.
  5. Futtassa a feladatot. Ha a beállításjegyzék és a feladat megfelelően van konfigurálva, a feladat sikeresen lefut, mert a beállításjegyzék engedélyezi a hozzáférést.

A hozzáférés megbízható szolgáltatások általi letiltásának tesztelése:

  1. Tiltsa le a beállítást a megbízható szolgáltatások általi hozzáférés engedélyezéséhez.
  2. Futtassa újra a feladatot. Ebben az esetben a feladat futtatása meghiúsul, mert a beállításjegyzék már nem engedélyezi a tevékenység általi hozzáférést.

Következő lépések