Megosztás a következőn keresztül:

A megbízható szolgáltatások biztonságos hozzáférésének engedélyezése a hálózat által korlátozott tárolóregisztrációs adatbázishoz

  • Cikk

Az Azure Container Registry lehetővé teszi, hogy a megbízható Azure-szolgáltatások hozzáférjenek egy hálózati hozzáférési szabályokkal konfigurált beállításjegyzékhez. Ha a megbízható szolgáltatások engedélyezettek, a megbízható szolgáltatáspéldányok biztonságosan megkerülhetik a beállításjegyzék hálózati szabályait, és műveleteket hajthatnak végre, például lekéréses vagy leküldéses rendszerképeket. Ez a cikk bemutatja, hogyan engedélyezheti és használhatja a megbízható szolgáltatásokat egy hálózatra korlátozott Azure-tárolóregisztrációs adatbázissal.

A jelen cikkben szereplő parancsok futtatásához használja az Azure Cloud Shellt vagy az Azure CLI helyi telepítését. Ha helyileg szeretné használni, a 2.18-es vagy újabb verzióra van szükség. A verzió azonosításához futtassa a következőt: az --version. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.

Korlátozások

  • Bizonyos, megbízható szolgáltatásokkal rendelkező beállításjegyzék-hozzáférési forgatókönyvekhez felügyelt identitásra van szükség az Azure-erőforrásokhoz. Kivéve, ha a felhasználó által hozzárendelt felügyelt identitás támogatott, csak rendszer által hozzárendelt identitás használható.
  • A megbízható szolgáltatások engedélyezése nem vonatkozik a szolgáltatásvégponttal konfigurált tárolóregisztrációs adatbázisra. A szolgáltatás csak a privát végponttal korlátozott vagy nyilvános IP-hozzáférési szabályokkal rendelkező regisztrációs adatbázisokat érinti.

Tudnivalók a megbízható szolgáltatásokról

Az Azure Container Registry egy rétegzett biztonsági modellel rendelkezik, amely több hálózati konfigurációt támogat, amelyek korlátozzák a beállításjegyzékhez való hozzáférést, beleértve a következőket:

  • Privát végpont az Azure Private Linkkel. Ha konfigurálva van, a beállításjegyzék privát végpontja csak a virtuális hálózaton belüli erőforrások számára érhető el, privát IP-címekkel.
  • A beállításjegyzék tűzfalszabályai, amelyek csak meghatározott nyilvános IP-címekről vagy címtartományokból engedélyezik a beállításjegyzék nyilvános végpontjának elérését. A tűzfalat úgy is konfigurálhatja, hogy privát végpontok használatakor letiltsa a nyilvános végponthoz való összes hozzáférést.

Ha virtuális hálózaton van üzembe helyezve, vagy tűzfalszabályokkal van konfigurálva, a beállításjegyzék letiltja a hozzáférést a felhasználókhoz vagy szolgáltatásokhoz ezeken a forrásokon kívülről.

Számos több-bérlős Azure-szolgáltatás olyan hálózatokból működik, amelyek nem vehetők fel ezekbe a beállításjegyzék-hálózati beállításokba, megakadályozva, hogy olyan műveleteket hajtsanak végre, mint például a lemezképek lekérése vagy leküldése a beállításjegyzékbe. Ha bizonyos szolgáltatáspéldányokat "megbízhatóként" jelöl ki, a beállításjegyzék-tulajdonos engedélyezheti az Azure-erőforrások kiválasztását a beállításjegyzék hálózati beállításainak biztonságos megkerüléséhez a beállításjegyzék-műveletek végrehajtásához.

Megbízható szolgáltatások

Az alábbi szolgáltatások példányai akkor férhetnek hozzá a hálózat által korlátozott tárolóregisztrációs adatbázishoz, ha a beállításjegyzék engedélyezi a megbízható szolgáltatások beállítását (ez az alapértelmezett beállítás). Idővel további szolgáltatások lesznek hozzáadva.

A megbízható szolgáltatáshoz való hozzáféréshez szükség van egy felügyelt identitás további konfigurálására egy szolgáltatáspéldányban, egy RBAC-szerepkör hozzárendelésére és a beállításjegyzékkel való hitelesítésre. Például a lépésekről a cikk későbbi részében, a Megbízható szolgáltatások munkafolyamatában olvashat.

Megbízható szolgáltatás Támogatott használati forgatókönyvek Felügyelt identitás konfigurálása RBAC-szerepkörrel
Azure Container Instances Üzembe helyezés az Azure Container Registryből az Azure Container Instancesben felügyelt identitás használatával Igen, rendszer által hozzárendelt vagy felhasználó által hozzárendelt identitás
Microsoft Defender for Cloud A Microsoft Defender biztonsági réseinek vizsgálata tárolóregisztrációs adatbázisokhoz Nem
ACR-feladatok Hozzáférés a szülőregisztrációs adatbázishoz vagy egy ACR-feladattól eltérő beállításjegyzékhez Igen
Machine Learning Modell üzembe helyezése vagy betanítása Machine Learning-munkaterületen egyéni Docker-tárolórendszerkép használatával Igen
Azure Container Registry Lemezképek importálása hálózat által korlátozott Azure-tárolóregisztrációs adatbázisba vagy onnan Nem

Feljegyzés

A megbízható szolgáltatások engedélyezésének engedélyezése jelenleg nem vonatkozik az App Service-re.

Megbízható szolgáltatások engedélyezése – parancssori felület

Alapértelmezés szerint a megbízható szolgáltatások engedélyezése beállítás engedélyezve van egy új Azure-tárolóregisztrációs adatbázisban. Tiltsa le vagy engedélyezze a beállítást az az acr update parancs futtatásával.

Letiltás:

az acr update --name myregistry --allow-trusted-services false

Ha engedélyezni szeretné a beállítást egy meglévő beállításjegyzékben vagy egy olyan beállításjegyzékben, ahol már le van tiltva:

az acr update --name myregistry --allow-trusted-services true

Megbízható szolgáltatások engedélyezése – portál

Alapértelmezés szerint a megbízható szolgáltatások engedélyezése beállítás engedélyezve van egy új Azure-tárolóregisztrációs adatbázisban.

A beállítás letiltása vagy ismételt engedélyezése a portálon:

  1. A portálon keresse meg a tárolóregisztrációs adatbázist.
  2. A Beállítások területen válassza a Hálózatkezelés lehetőséget.
  3. A Nyilvános hálózati hozzáférés engedélyezése területen válassza a Kijelölt hálózatok vagy a Letiltva lehetőséget.
  4. Tegye az alábbiak egyikét:
    • A megbízható szolgáltatások hozzáférésének letiltásához a Tűzfal kivétele területen törölje a jelet a Tárolóregisztrációs adatbázis elérésének engedélyezése a megbízható Microsoft-szolgáltatások jelölőnégyzetből.
    • A megbízható szolgáltatások engedélyezéséhez a tűzfal kivétele alatt jelölje be A megbízható Microsoft-szolgáltatások engedélyezése a tárolóregisztrációs adatbázis eléréséhez jelölőnégyzetet.
  5. Válassza a Mentés lehetőséget.

Megbízható szolgáltatások munkafolyamata

Íme egy tipikus munkafolyamat, amely lehetővé teszi, hogy egy megbízható szolgáltatás egy példánya hozzáférjen egy hálózati hozzáférésű tárolóregisztrációs adatbázishoz. Erre a munkafolyamatra akkor van szükség, ha egy szolgáltatáspéldány felügyelt identitásával megkerüli a beállításjegyzék hálózati szabályait.

  1. Felügyelt identitás engedélyezése az Azure Container Registry egyik megbízható szolgáltatásának egy példányában.
  2. Rendeljen hozzá egy Azure-szerepkört az identitáshoz a beállításjegyzékhez. Rendelje hozzá például az ACRPull szerepkört a tárolólemezképek lekéréséhez.
  3. A hálózat által korlátozott beállításjegyzékben konfigurálja a beállítást a megbízható szolgáltatások általi hozzáférés engedélyezéséhez.
  4. Az identitás hitelesítő adataival hitelesíthet a hálózat által korlátozott beállításjegyzékkel.
  5. Képek lekérése a beállításjegyzékből, vagy a szerepkör által engedélyezett egyéb műveletek végrehajtása.

Példa: ACR-feladatok

Az alábbi példa az ACR Tasks megbízható szolgáltatásként való használatát mutatja be. A feladat részleteiért tekintse meg a keresztregisztrációs hitelesítést egy Azure által felügyelt identitással rendelkező ACR-feladatban.

  1. Azure-tárolóregisztrációs adatbázis létrehozása vagy frissítése. Hozzon létre egy ACR-feladatot.
    • A feladat létrehozásakor engedélyezze a rendszer által hozzárendelt felügyelt identitást.
    • Tiltsa le a tevékenység alapértelmezett hitelesítési módját (--auth-mode None).
  2. Rendelje hozzá a feladatidentitást egy Azure-szerepkörhöz a beállításjegyzék eléréséhez. Rendelje hozzá például az AcrPush szerepkört, amely jogosult képek lekérésére és leküldésére.
  3. Adjon hozzá felügyelt identitás hitelesítő adatokat a beállításjegyzékhez a feladathoz.
  4. Annak ellenőrzéséhez, hogy a tevékenység megfelel-e a hálózati korlátozásoknak, tiltsa le a nyilvános hozzáférést a beállításjegyzékben.
  5. Futtassa a feladatot. Ha a beállításjegyzék és a tevékenység megfelelően van konfigurálva, a feladat sikeresen lefut, mert a beállításjegyzék engedélyezi a hozzáférést.

A megbízható szolgáltatások általi hozzáférés letiltását tesztelheti:

  1. Tiltsa le a beállítást a megbízható szolgáltatások általi hozzáférés engedélyezéséhez.
  2. Futtassa újra a feladatot. Ebben az esetben a feladat futtatása meghiúsul, mert a beállításjegyzék már nem engedélyezi a tevékenység általi hozzáférést.

Következő lépések