Azure által felügyelt identitás használata az ACR-feladatokban
Engedélyezze a felügyelt identitást az Azure-erőforrásokhoz egy ACR-feladatban, így a feladat anélkül férhet hozzá más Azure-erőforrásokhoz, hogy hitelesítő adatokat kellene megadnia vagy kezelnie. Például egy felügyelt identitással engedélyezheti a feladatlépéseket tárolólemezképek lekéréséhez vagy leküldéséhez egy másik beállításjegyzékbe.
Ebből a cikkből megtudhatja, hogyan engedélyezheti a felhasználó által hozzárendelt vagy rendszer által hozzárendelt felügyelt identitásokat az ACR-feladatokhoz az Azure CLI használatával. Használhatja az Azure Cloud Shellt vagy az Azure CLI helyi telepítését. Ha helyileg szeretné használni, a 2.0.68-es vagy újabb verzióra van szükség. A verzió azonosításához futtassa a következőt: az --version. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.
Illusztrációs célokra a cikkben szereplő példaparancsok az acr-feladatlétrehozás használatával hoznak létre egy alapszintű rendszerkép-összeállítási feladatot, amely lehetővé teszi a felügyelt identitást. A felügyelt identitással rendelkező ACR-tevékenységből származó biztonságos erőforrások elérésére vonatkozó példaforgatókönyvek:
- Keresztregisztrációs hitelesítés
- Külső erőforrások elérése az Azure Key Vaultban tárolt titkos kódokkal
Miért érdemes felügyelt identitást használni?
Az Azure-erőforrások felügyelt identitása automatikusan felügyelt identitást biztosít a kiválasztott Azure-szolgáltatások számára a Microsoft Entra ID-ban. Az ACR-feladatokat úgy konfigurálhatja felügyelt identitással, hogy a tevékenység a feladat lépéseiben hitelesítő adatok átadása nélkül férhessen hozzá más biztonságos Azure-erőforrásokhoz.
A felügyelt identitások kétféle típusúak:
A felhasználó által hozzárendelt identitások, amelyeket több erőforráshoz is hozzárendelhet, és ameddig csak szeretné, megmaradnak. A felhasználó által hozzárendelt identitások jelenleg előzetes verzióban érhetők el.
Egy rendszer által hozzárendelt identitás, amely egyedi egy adott erőforráshoz, például egy ACR-tevékenységhez, és az adott erőforrás teljes élettartama alatt tart.
Az ACR-feladatokban engedélyezheti az identitások egyikét vagy mindkét típusát. Adjon hozzáférést az identitásnak egy másik erőforráshoz, akárcsak bármely biztonsági tagnak. Amikor a tevékenység fut, az identitás használatával fér hozzá az erőforráshoz minden olyan feladatlépésben, amely hozzáférést igényel.
A felügyelt identitás használatának lépései
Kövesse ezeket a magas szintű lépéseket egy felügyelt identitás ACR-feladattal való használatához.
1. (Nem kötelező) Felhasználó által hozzárendelt identitás létrehozása
Ha felhasználó által hozzárendelt identitást szeretne használni, használjon meglévő identitást, vagy hozza létre az identitást az Azure CLI-vel vagy más Azure-eszközökkel. Használja például az az identity create parancsot.
Ha csak egy rendszer által hozzárendelt identitást szeretne használni, hagyja ki ezt a lépést. Az ACR-feladat létrehozásakor rendszer által hozzárendelt identitást hoz létre.
2. Identitás engedélyezése ACR-feladaton
ACR-feladat létrehozásakor opcionálisan engedélyezheti a felhasználó által hozzárendelt identitást, a rendszer által hozzárendelt identitást vagy mindkettőt. Adja át például a --assign-identity paramétert, amikor az az acr feladat létrehozása parancsot futtatja az Azure CLI-ben.
A rendszer által hozzárendelt identitás engedélyezéséhez adjon meg --assign-identity értéket vagy assign-identity [system]. Az alábbi példaparancs létrehoz egy Linux-feladatot egy nyilvános GitHub-adattárból, amely létrehozza a rendszerképet, és lehetővé teszi a hello-world rendszer által hozzárendelt felügyelt identitást:
az acr task create \
--image hello-world:{{.Run.ID}} \
--name hello-world --registry MyRegistry \
--context https://github.com/Azure-Samples/acr-build-helloworld-node.git#main \
--file Dockerfile \
--commit-trigger-enabled false \
--assign-identity
A felhasználó által hozzárendelt identitás engedélyezéséhez adja meg --assign-identity az identitás erőforrás-azonosítójának értékét. Az alábbi példaparancs létrehoz egy Linux-feladatot egy nyilvános GitHub-adattárból, amely létrehozza a rendszerképet, és engedélyezi a hello-world felhasználó által hozzárendelt felügyelt identitást:
az acr task create \
--image hello-world:{{.Run.ID}} \
--name hello-world --registry MyRegistry \
--context https://github.com/Azure-Samples/acr-build-helloworld-node.git#main \
--file Dockerfile \
--commit-trigger-enabled false
--assign-identity <resourceID>
Az identitás erőforrás-azonosítóját az az identity show parancs futtatásával szerezheti be . A myResourceGroup erőforráscsoport myUserAssignedIdentity azonosítójának erőforrás-azonosítója a következő:
"/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUserAssignedIdentity"
3. Adjon meg identitásengedélyeket más Azure-erőforrások eléréséhez
A feladat követelményeitől függően adjon meg identitásengedélyeket más Azure-erőforrások eléréséhez. Ide sorolhatóak például a kövekezők:
- A felügyelt identitáshoz rendeljen egy szerepkört lekéréses, leküldéses és lekéréses vagy egyéb engedélyekkel egy céltároló-beállításjegyzékhez az Azure-ban. A regisztrációs adatbázisokhoz tartozó szerepkörök teljes listája megtekinthető az Azure Container Registry-szerepkörök és -jogosultságok.
- Rendeljen hozzá egy szerepkört a felügyelt identitáshoz, hogy titkos kulcsokat olvasson egy Azure-kulcstartóban.
Az Azure CLI-vel vagy más Azure-eszközökkel kezelheti az erőforrásokhoz való szerepköralapú hozzáférést. Futtassa például az az role assignment create parancsot az identitás erőforráshoz való hozzárendeléséhez.
Az alábbi példa egy felügyelt identitáshoz rendeli hozzá a tárolóregisztrációs adatbázisból való lekéréshez szükséges engedélyeket. A parancs megadja a feladatidentitás egyszerű azonosítóját és a célregisztrációs adatbázis erőforrás-azonosítóját .
az role assignment create \
--assignee <principalID> \
--scope <registryID> \
--role acrpull
4. (Nem kötelező) Hitelesítő adatok hozzáadása a feladathoz
Ha a feladatnak hitelesítő adatokra van szüksége a rendszerképek másik egyéni beállításjegyzékbe való lekéréséhez vagy leküldéséhez, vagy más erőforrások eléréséhez, adjon hozzá hitelesítő adatokat a feladathoz. Futtassa az az acr-feladat hitelesítő adatainak hozzáadására vonatkozó parancsot hitelesítő adatok hozzáadásához, és adja meg a --use-identity paramétert, hogy jelezze, hogy az identitás hozzáfér a hitelesítő adatokhoz.
Ha például hitelesítő adatokat szeretne hozzáadni egy rendszer által hozzárendelt identitáshoz az Azure Container Registry célregisztrációs adatbázisával való hitelesítéshez, adja meg a következőt use-identity [system]:
az acr task credential add \
--name helloworld \
--registry myregistry \
--login-server targetregistry.azurecr.io \
--use-identity [system]
Ha hitelesítő adatokat szeretne hozzáadni egy felhasználó által hozzárendelt identitáshoz a beállításjegyzék-célregisztrációs adatbázissal való hitelesítéshez, adja meg use-identity az identitás ügyfélazonosítójának értékét. Például:
az acr task credential add \
--name helloworld \
--registry myregistry \
--login-server targetregistry.azurecr.io \
--use-identity <clientID>
Az identitás ügyfél-azonosítóját az az identity show parancs futtatásával szerezheti be . Az ügyfélazonosító az űrlap xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxGUID azonosítója.
A --use-identity paraméter nem kötelező, ha a beállításjegyzék nyilvános hálózati hozzáférése le van tiltva, és csak bizonyos megbízható szolgáltatásokra támaszkodik az ACR-feladatok futtatásához. Tekintse meg az ACR-feladatok megbízható szolgáltatásként való példáját.
5. A feladat futtatása
Miután konfigurálta a feladatot egy felügyelt identitással, futtassa a feladatot. A cikkben létrehozott feladatok egyikének teszteléséhez például manuálisan aktiválja azt az az acr feladatfuttatási paranccsal. Ha további automatikus tevékenységindítókat konfigurált, a tevékenység automatikusan aktiválva fut.
Következő lépések
Ebben a cikkben megtanulta, hogyan engedélyezheti és használhatja a felhasználó által hozzárendelt vagy rendszer által hozzárendelt felügyelt identitást egy ACR-feladaton. A felügyelt identitással rendelkező ACR-tevékenységből származó biztonságos erőforrások elérésére vonatkozó forgatókönyvek: