Nem Microsoft Entra-jogkivonat-alapú adattárengedélyek az Azure Container Registryben

Ez a cikk azt ismerteti, hogyan hozhat létre jogkivonatokat és hatókör-leképezéseket a tárolóregisztrációs adatbázisban található adattárakhoz való hozzáférés kezeléséhez. Tokenek létrehozásával a regisztertulajdonos korlátozott, időkorlátos hozzáférést biztosíthat a felhasználóknak vagy szolgáltatásoknak az adattárakhoz, hogy képeket lekérjenek vagy leküldjenek, illetve egyéb műveleteket végezzenek. A token részletesebb engedélyeket biztosít, mint más beállításjegyzék-hitelesítési opciók, amelyek engedélyeket rendelnek a teljes beállításjegyzékhez.

Megjegyzés:

A nem Microsoft Entra-jogkivonatok és hatókörtérképek az adattárengedélyek kezelésére is felhasználhatók Microsoft Entra nélkül. A Microsoft Entra-identitásokhoz tartozó Microsoft Entra-szerepkör-hozzárendelésekkel rendelkező adattárengedélyek kezeléséhez tekintse meg a Microsoft Entra attribútumalapú hozzáférés-vezérlést (ABAC) az adattárengedélyekről.

A jogkivonatok létrehozásának gyakori forgatókönyvei a következők:

• Tegye lehetővé, hogy az egyedi tokenekkel rendelkező IoT-eszközök lekérjenek egy képet egy adattárból.
• Adjon meg egy külső szervezet számára engedélyeket egy adattár elérési útjára.
• Korlátozza az adattár hozzáférését a szervezet különböző felhasználói csoportjaihoz. Például írási és olvasási hozzáférést biztosíthat azoknak a fejlesztőknek, akik olyan képeket készítenek, amelyek meghatározott adattárakat céloznak meg, és olvasási hozzáférést biztosítanak az ezekből az adattárakból üzembe helyező csapatoknak.

Ez a funkció az összes szolgáltatási szinten elérhető. A beállításjegyzék szolgáltatási szintjeiről és korlátairól további információt az Azure Container Registry szolgáltatásszintjeiben talál .

Korlátozások

• Jelenleg nem rendelhet adattár-hatókörű engedélyeket Microsoft Entra-identitáshoz, például szolgáltatásnévhez vagy felügyelt identitáshoz.

Alapelvek

Az adattár hatókörű engedélyeinek konfigurálásához hozzon létre egy jogkivonatot, amelyhez tartozik egy hatókör-leképezés.

• A token és a létrehozott jelszó lehetővé teszi a felhasználó számára, hogy a regiszterrel hitelesítse magát. Beállíthatja a jogkivonat jelszavának lejárati dátumát, vagy bármikor letilthatja a jogkivonatot.

  A jogkivonattal végzett hitelesítés után a felhasználó vagy a szolgáltatás végrehajthat egy vagy több, egy vagy több adattárra kiterjedő műveletet .

  Tevékenység	Leírás	példa
  content/delete	Adatok eltávolítása az adattárból	Adattár vagy jegyzék törlése
  content/read	Adatok beolvasása az adattárból	Artifaktum lekérése
  content/write	Adatok írása az adattárba	Használja content/read-val egy artefaktum feltöltéséhez
  metadata/read	Metaadatok olvasása az adattárból	Címkék vagy jegyzékek listázása
  metadata/write	Metaadatok írása az adattárba	Olvasási, írási vagy törlési műveletek engedélyezése vagy letiltása

Megjegyzés:

Az adattár-hatókörű engedélyek nem támogatják a beállításjegyzékben található összes adattár katalógusának listázását.

• A hatókör-térkép csoportosítja a jogkivonatokra alkalmazott adattár-engedélyeket, és azokat más jogkivonatokra is újra lehet alkalmazni. Minden jogkivonat egyetlen hatókör-térképhez van társítva. Hatókörtérképpel a következőket teheti:

  • Több, azonos engedélyekkel rendelkező jogkivonatot konfigurálhat több adattárhoz.
  • Frissítse a jogkivonat-engedélyeket, ha a hatókörtérképen tárházműveleteket ad hozzá vagy távolít el, vagy egy másik hatókörtérképet alkalmaz.

  Az Azure Container Registry számos rendszer által meghatározott hatókörtérképet is biztosít, amelyeket jogkivonatok létrehozásakor alkalmazhat. A rendszer által definiált hatókörtérképek engedélyei a beállításjegyzék összes adattárára vonatkoznak. Az egyes műveletekhatókör-leképezésenként az adattárak korlátjának felelnek meg.

Az alábbi képen a tokenek és a hatókörtérképek közötti kapcsolat látható.

Előfeltételek

• Az Azure CLI – A cikkben szereplő Azure CLI-parancsok példáihoz az Azure CLI 2.17.0-s vagy újabb verziója szükséges. A verzió azonosításához futtassa a következőt: az --version. Ha telepítenie vagy frissítenie kell, tekintse meg az Azure CLI telepítését.
• Docker – A rendszerképek lekéréséhez vagy leküldéséhez a beállításjegyzékkel való hitelesítéshez helyi Docker-telepítésre van szükség. A Docker telepítési utasításokat biztosít a macOS, a Windows és a Linux systems.systems rendszerekhez.
• Tárolóregisztrációs adatbázis – Ha nincs ilyen, hozzon létre egy tárolóregisztrációs adatbázist az Azure-előfizetésében. Használja például az Azure Portalt vagy az Azure CLI-t.

Token létrehozása – parancssor

Token létrehozása és repozitoriumok megadása

Hozzon létre egy jogkivonatot az az acr token create parancs segítségével. Jogkivonat létrehozásakor megadhat egy vagy több adattárat és kapcsolódó műveletet az egyes adattárakban. Az adattáraknak még nem kell a beállításjegyzékben lenniük. Ha egy meglévő hatókörtérkép megadásával szeretne jogkivonatot létrehozni, tekintse meg a következő szakaszt.

Az alábbi példa létrehoz egy tokent a myregistry beállításjegyzékben a következő engedélyekkel az samples/hello-world adattáron: content/write és content/read. Alapértelmezés szerint a parancs a jogkivonat alapértelmezett állapotát enabled értékre állítja be, de bármikor frissítheti az állapotot disabled értékre.

az acr token create --name MyToken --registry myregistry \
  --repository samples/hello-world \
  content/write content/read \
  --output json

A kimenet a token részleteit jeleníti meg. Alapértelmezés szerint két jelszó jön létre, amelyek nem járnak le, de megadhat egy lejárati dátumot is. Javasoljuk, hogy a jelszavakat biztonságos helyre mentse, hogy később használhassa a hitelesítéshez. A jelszavak nem kérhetők le újra, de újak hozhatók létre.

{
  "creationDate": "2023-01-18T00:15:34.066221+00:00",
  "credentials": {
    "certificates": [],
    "passwords": [
      {
        "creationTime": "2023-01-18T00:15:52.837651+00:00",
        "expiry": null,
        "name": "password1",
        "value": "uH54BxxxxK7KOxxxxRbr26dAs8JXxxxx"
      },
      {
        "creationTime": "2023-01-18T00:15:52.837651+00:00",
        "expiry": null,
        "name": "password2",
        "value": "kPX6Or/xxxxLXpqowxxxxkA0idwLtmxxxx"
      }
    ],
    "username": "MyToken"
  },
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myresourcegroup/providers/Microsoft.ContainerRegistry/registries/myregistry/tokens/MyToken",
  "name": "MyToken",
  "objectId": null,
  "provisioningState": "Succeeded",
  "resourceGroup": "myresourcegroup",
  "scopeMapId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myresourcegroup/providers/Microsoft.ContainerRegistry/registries/myregistry/scopeMaps/MyToken-scope-map",
  "status": "enabled",
  "type": "Microsoft.ContainerRegistry/registries/tokens"
}

Megjegyzés:

A tokenjelszavak és a lejárati időszakok újragenerálásához lásd a Tokenjelszavak újragenerálása című részt a cikk későbbi részében.

Az elmentett parancs által létrehozott hatókörtérkép részleteit tartalmazza a kimenet. Az itt elnevezett MyToken-scope-maphatókör-megfeleltetés használatával ugyanazokat az adattárműveleteket alkalmazhatja más jogkivonatokra. Vagy később frissítse a hatókör-térképet a társított jogkivonatok engedélyeinek módosításához.

Jogkivonat létrehozása és hatókör-leképezés megadása

A token létrehozásának másik módja egy meglévő hatókör térkép megadása. Ha még nem rendelkezik hatókörtérképpel, először hozzon létre egyet az adattárak és a kapcsolódó műveletek megadásával. Ezután adja meg az érvényességi térképet egy jogkivonat létrehozásakor.

Hatókörtérkép létrehozásához használja az az acr scope-map create parancsot. Az alábbi parancs létrehoz egy hatókör-leképezést, amely ugyanazokat az engedélyeket tartalmazza a samples/hello-world korábban használt adattárban.

az acr scope-map create --name MyScopeMap --registry myregistry \
  --repository samples/hello-world \
  content/write content/read \
  --description "Sample scope map"

Futtassa az az acr token create parancsot, megadva a MyScopeMap hatókörtérképet a jogkivonat létrehozásához. Az előző példához hasonlóan a parancs az alapértelmezett jogkivonat állapotát a enabled értékre állítja.

az acr token create --name MyToken \
  --registry myregistry \
  --scope-map MyScopeMap

A kimenet a token részleteit jeleníti meg. Alapértelmezés szerint két jelszó jön létre. Javasoljuk, hogy a jelszavakat biztonságos helyre mentse, hogy később használhassa a hitelesítéshez. A jelszavak nem kérhetők le újra, de újak hozhatók létre.

Megjegyzés:

A tokenjelszavak és a lejárati időszakok újragenerálásához lásd a Tokenjelszavak újragenerálása című részt a cikk későbbi részében.

Hatókörtérképek használata több adattár engedélyeinek meghatározásához és hozzárendeléséhez

A hatókör-leképezés lehetővé teszi helyettesítő karakter használatát, hogy hasonló engedélyeket adjon meg és határozzon meg több olyan adattárhoz, amelyek közös előtaggal rendelkeznek. Az adott engedélyekkel rendelkező adattárak, helyettesítő karakterrel rendelkező adattárak is használhatók ugyanabban a hatókörtérképben. Ez rugalmasan kezeli az engedélyeket több adattárhoz egyetlen hatókörtérképen.

Az adattár engedélyei akkor hozhatók létre, ha létrehoz egy hatókörtérképet, és hozzárendeli egy jogkivonathoz. Másik lehetőségként létrehozhat egy jogkivonatot, és közvetlenül hozzárendelhető egy adattárhoz.

Az alábbi példa létrehoz egy hatókörtérképet helyettesítő karakterrel, majd hozzárendeli azt egy tokenhez.

az acr scope-map create --name MyScopeMapWildcard --registry myregistry \
  --repository samples/* \
  content/write content/read \
  --description "Sample scope map with wildcards"
az acr token create --name MyTokenWildcard \
  --registry myregistry \
  --scope-map MyScopeMapWildcard

Az alábbi példa egy helyettesítő karaktert tartalmazó tokent hoz létre.

 az acr token create --name MyTokenWildcard --registry myregistry \
  --repository samples/* \
  content/write content/read \

A helyettesítő karakterek engedélyei additívek, ami azt jelenti, hogy egy adott tárház elérésekor az eredményül kapott engedélyek tartalmazzák a helyettesítő karakter előtagjának megfelelő hatókör-leképezési szabályok engedélyeit.

Ebben a példában a hatókörtérkép három különböző típusú adattár engedélyeit határozza meg:

Raktár	Engedély
sample/*	content/read
sample/teamA/*	content/write
sample/teamA/projectB	content/delete

A jogkivonat hatókör-leképezéssel rendelkezik[content/read, content/write, content/delete], amely engedélyeket ad sample/teamA/projectB az adattárhoz való hozzáféréshez. Ha azonban ugyanazt a jogkivonatot használja az sample/teamA/projectC adattár eléréséhez, csak [content/read, content/write] engedélyekkel rendelkezik.

Fontos

A hatókörtérképen helyettesítő karaktereket használó adattáraknak mindig egy /* utótaggal kell végződnie, hogy érvényesek legyenek, és egyetlen helyettesítő karakterrel kell rendelkezniük az adattár nevére. Íme néhány példa az érvénytelen helyettesítő karakterekre:

• sample/*/teamA az adattár nevének közepén egy helyettesítő karakterrel.
• sample/teamA* helyettesítő karakterrel nem "/*" végződésű.
• sample/teamA/*/projectB/* több helyettesítő karakterrel az adattár nevében.

Gyökérszintű helyettesítő karakterek

A helyettesítő karakterek gyökérszinten is alkalmazhatók. Ez azt jelenti, hogy a *megadott adattárhoz rendelt engedélyek a beállításjegyzék széles hányadát fogják alkalmazni.

A példa bemutatja, hogyan hozhat létre egy gyökérszintű helyettesítő karaktert tartalmazó jogkivonatot, amely [content/read, content/write] számára hozzáférést biztosít a beállításjegyzék összes adattárához. Ez egyszerű módot kínál arra, hogy engedélyeket adjon a beállításjegyzék összes adattárának anélkül, hogy külön-külön kellene megadnia az egyes adattárakat.

 az acr token create --name MyTokenWildcard --registry myregistry \
  --repository * \
  content/write content/read \

Fontos

Ha egy helyettesítő szabály olyan adattárat foglal magában, amely még nem létezik, a helyettesítő karakterekre vonatkozó engedélyek továbbra is érvényesek lesznek az adattár nevére. Például egy olyan jogkivonat, amely egy hatóköri térképhez van rendelve, amely jogosultságokat biztosít az [content/write, metadata/write] adattárakhoz sample/*. Tegyük fel továbbá, hogy az adattár sample/teamC/teamCimage még nem létezik. A jogkivonat rendelkezik a képek adattárba való sample/teamC/teamCimageleküldéséhez szükséges engedélyekkel, amelyek egyidejűleg létrehozzák az adattárat a sikeres leküldéskor.

Token létrehozása – portál

Az Azure portál használatával tokeneket és hatókör-térképeket hozhat létre. A CLI-parancshoz az acr token create hasonlóan alkalmazhat egy meglévő hatókörtérképet, vagy létrehozhat egy hatókörtérképet egy jogkivonat létrehozásakor egy vagy több tárház és kapcsolódó művelet megadásával. Az adattáraknak még nem kell a beállításjegyzékben lenniük.

Az alábbi példa létrehoz egy jogkivonatot, és létrehoz egy hatókör-térképet az samples/hello-world adattár következő engedélyeivel: content/write és content/read.

1. A portálon keresse meg a tárolóregisztrációs adatbázist.

2. Az Adattár engedélyei csoportban lehetőséget.

   

3. Adjon meg egy tokennevet.

4. A Hatókörtérkép területen válassza az Új létrehozása lehetőséget.

5. A hatókörtérkép konfigurálása:

   1. Adja meg a hatókör-térkép nevét és leírását.

   2. Az Adattárak alatt adja meg samples/hello-world, és az Engedélyek alatt válassza ki content/read és content/write. Ezután válassza a +Hozzáadás lehetőséget.

      

   3. Az adattárak és engedélyek hozzáadása után válassza a Hozzáadás lehetőséget a hatókörtérkép hozzáadásához.

6. Fogadja el az alapértelmezett Állapot értéket Engedélyezett, majd válassza a Létrehozás lehetőséget.

A jogkivonat érvényesítése és létrehozása után a jogkivonat részletei megjelennek a Jogkivonatok képernyőn.

Jogkivonat jelszavának hozzáadása

A portálon létrehozott token használatához létre kell hoznia egy jelszót. Létrehozhat egy vagy két jelszót, és mindegyikhez beállíthat lejárati dátumot. A tokenekhez létrehozott új jelszavak azonnal elérhetők. A tokenek új jelszavainak újragenerálása 60 másodpercet vesz igénybe a replikáláshoz, és elérhető lesz.

1. A portálon keresse meg a tárolóregisztrációs adatbázist.

2. Az Adattár engedélyei csoportban válassza a Jogkivonatok lehetőséget, és válasszon ki egy jogkivonatot.

3. A token részletei között válassza jelszó1 vagy jelszó2, majd kattintson a Létrehozás ikonra.

4. A jelszó képernyőjén adja meg a jelszó lejárati dátumát, és válassza a Létrehozás lehetőséget. Ajánlott lejárati dátumot beállítani.

5. Jelszó létrehozása után másolja és mentse biztonságos helyre. A képernyő bezárása után nem lehet lekérni a létrehozott jelszót, de létrehozhat egy újat.

   

Hitelesítés tokennel

Amikor egy felhasználó vagy szolgáltatás jogkivonatot használ a célregisztrációs adatbázissal való hitelesítéshez, a jogkivonat nevét felhasználónévként és az egyik létrehozott jelszóként adja meg.

A hitelesítési módszer a tokenhez rendelt konfigurált művelettől vagy műveletektől függ.

Tevékenység	Hitelesítés
content/delete	az acr repository delete az Azure CLI-ben Példa: az acr repository delete --name myregistry --repository myrepo --username MyToken --password xxxxxxxxxx
content/read	docker login az acr login az Azure CLI-ben Példa: az acr login --name myregistry --username MyToken --password xxxxxxxxxx
content/write	docker login az acr login az Azure CLI-ben
metadata/read	az acr repository show az acr repository show-tags az acr manifest list-metadata az Azure CLI-ben
metadata/write	az acr repository untag az acr repository update az Azure CLI-ben

Példák: Token használata

Az alábbi példák a cikkben korábban létrehozott jogkivonatot használják az adattárak gyakori műveleteinek végrehajtásához: képek leküldése és lekérése, képek törlése és tárházcímkék listázása. A token kezdetben feltöltési engedélyekkel (content/write és content/read műveletekkel) lett beállítva az samples/hello-world adattárhoz.

Tesztképek lekérése és címkézése

Az alábbi példákban nyilvános hello-world és nginx rendszerképeket kér le a Microsoft Container Registryből, és azokat címkézi a regisztrációhoz és az adattárhoz.

docker pull mcr.microsoft.com/hello-world
docker pull mcr.microsoft.com/oss/nginx/nginx:1.15.5-alpine
docker tag mcr.microsoft.com/hello-world myregistry.azurecr.io/samples/hello-world:v1
docker tag mcr.microsoft.com/oss/nginx/nginx:1.15.5-alpine myregistry.azurecr.io/samples/nginx:v1

Hitelesítés token használatával

A képek feltöltéséhez vagy letöltéséhez a bejegyzés-hitelesítéshez futtassa docker login vagy az acr login. A token nevét adja meg felhasználónévként, és adja meg az egyik jelszavát. A jogkivonatnak a Enabled állapottal kell rendelkeznie.

Az alábbi példa a bash-rendszerhéjhoz van formázva, és környezeti változók használatával adja meg az értékeket.

TOKEN_NAME=MyToken
TOKEN_PWD=<token password>

echo $TOKEN_PWD | docker login --username $TOKEN_NAME --password-stdin myregistry.azurecr.io

A kimenetnek sikeres hitelesítést kell mutatnia:

Login Succeeded

Képfájlok feltöltése a regisztrátumba

A sikeres bejelentkezés után próbálja meg leküldni a címkézett képeket a beállításjegyzékbe. Mivel a jogkivonat jogosult képek leküldésére az samples/hello-world adattárba, a következő leküldés sikeres:

docker push myregistry.azurecr.io/samples/hello-world:v1

A jogkivonat nem rendelkezik engedélyekkel az samples/nginx adattárhoz, ezért a következő leküldéses kísérlet a következőhöz requested access to the resource is deniedhasonló hibával meghiúsul:

docker push myregistry.azurecr.io/samples/nginx:v1

Jogkivonat-engedélyek frissítése

Egy jogkivonat engedélyeinek frissítéséhez frissítse az engedélyeket a társított hatókör-térképen. A frissített hatókör térkép azonnal alkalmazódik az összes társított tokenre.

Frissítsen például MyToken-scope-map az adattárral és content/write a content/read műveletekkelsamples/ngnx, és távolítsa el a content/write műveletet az samples/hello-world adattárból.

Az Azure CLI használatához futtassa az az acr scope-map frissítést a hatókörtérkép frissítéséhez:

az acr scope-map update \
  --name MyScopeMap \
  --registry myregistry \
  --add-repository samples/nginx content/write content/read \
  --remove-repository samples/hello-world content/write 

Az Azure Portalon:

1. Navigáljon a konténerregisztrációhoz.
2. Az Adattár engedélyei csoportban válassza a Hatókörtérképek lehetőséget, és válassza ki a frissíteni kívánt hatókör-térképet.
3. Az Adattárak alatt adja meg samples/nginx, és az Engedélyek alatt válassza ki content/read és content/write. Ezután válassza a +Hozzáadás lehetőséget.
4. Az Adattárak alatt válassza a samples/hello-world lehetőséget, majd az Engedélyek alatt törölje a jelölést a content/write lehetőségnél. Ezután válassza a Mentéslehetőséget.

A hatókörtérkép frissítése után a következő leküldés sikeres.

docker push myregistry.azurecr.io/samples/nginx:v1

Mivel a hatókör-megfeleltetés csak az content/readsamples/hello-world adattár engedélyével rendelkezik, az samples/hello-world adattárba irányuló leküldéses kísérlet meghiúsul:

docker push myregistry.azurecr.io/samples/hello-world:v1

A képek mindkét adattárból való lekérése sikeres, mert a hatókörtérkép mindkét adattárhoz biztosít content/read engedélyeket:

docker pull myregistry.azurecr.io/samples/nginx:v1
docker pull myregistry.azurecr.io/samples/hello-world:v1

Rendszerképek törlése

Frissítse a hatókör-leképezést úgy, hogy hozzáadja a content/delete műveletet az nginx adattárhoz. Ez a művelet lehetővé teszi a képek törlését az adattárban, vagy a teljes adattár törlését.

A rövidség kedvéért csak az az acr scope-map update parancsot jelenítjük meg a hatókörtérkép frissítéséhez:

az acr scope-map update \
  --name MyScopeMap \
  --registry myregistry \
  --add-repository samples/nginx content/delete

A hatókörtérkép portálon való frissítéséhez tekintse meg az előző szakaszt.

Az adattár törléséhez használja az alábbi parancsát. Képek vagy adattárak törléséhez adja át a jogkivonat nevét és jelszavát a parancsnak. Az alábbi példa a cikkben korábban létrehozott környezeti változókat használja:

az acr repository delete \
  --name myregistry --repository samples/nginx \
  --username $TOKEN_NAME --password $TOKEN_PWD

Adattárcímkék megjelenítése

Frissítse a hatókör-leképezést úgy, hogy hozzáadja a metadata/read műveletet az hello-world adattárhoz. Ez a művelet lehetővé teszi a jegyzékadatok olvasását és az adatok címkézését az adattárban.

A rövidség kedvéért csak az az acr scope-map update parancsot jelenítjük meg a hatókörtérkép frissítéséhez:

az acr scope-map update \
  --name MyScopeMap \
  --registry myregistry \
  --add-repository samples/hello-world metadata/read 

A hatókörtérkép portálon való frissítéséhez tekintse meg az előző szakaszt.

Ha metaadatokat szeretne olvasni az samples/hello-world adattárban, futtassa az az acr manifest list-metadata vagy az acr repository show-tags parancsot.

A metaadatok olvasásához adja át a jogkivonat nevét és jelszavát bármelyik parancsnak. Az alábbi példa a cikkben korábban létrehozott környezeti változókat használja:

az acr repository show-tags \
  --name myregistry --repository samples/hello-world \
  --username $TOKEN_NAME --password $TOKEN_PWD

A kimenet példája:

[
  "v1"
]

Jogkivonatok és hatókörtérképek kezelése

Hatókörtérképek listázása

A beállításjegyzékben konfigurált hatókörtérképek felsorolásához használja az az acr scope-map list parancsot vagy a portál Hatókörtérképek képernyőjét. Például:

az acr scope-map list \
  --registry myregistry --output table

A kimenet a három rendszer által meghatározott hatókörtérképből és az Ön által létrehozott egyéb hatókörtérképekből áll. A jogkivonatok ezen hatókörtérképek bármelyikével konfigurálhatók.

NAME                 TYPE           CREATION DATE         DESCRIPTION
-------------------  -------------  --------------------  ------------------------------------------------------------
_repositories_admin  SystemDefined  2023-01-20T09:44:24Z  Can perform all read, write and delete operations on the ...
_repositories_pull   SystemDefined  2023-01-20T09:44:24Z  Can pull any repository of the registry
_repositories_push   SystemDefined  2023-01-20T09:44:24Z  Can push to any repository of the registry
MyScopeMap           UserDefined    2022-11-15T21:17:34Z  Sample scope map

Jogkivonat részleteinek megjelenítése

Egy jogkivonat részleteinek( például állapotának és a jelszó lejárati dátumainak) megtekintéséhez futtassa az az acr token show parancsot, vagy válassza ki a jogkivonatot a Jogkivonatok képernyőn a portálon. Például:

az acr scope-map show \
  --name MyScopeMap --registry myregistry

A beállításjegyzékben konfigurált összes jogkivonat listázásához használja az az acr tokenlista parancsot vagy a portál Jogkivonatok képernyőjét. Például:

az acr token list --registry myregistry --output table

Jogkivonatjelszavak újragenerálása

Ha nem hozott létre jogkivonatjelszót, vagy új jelszavakat szeretne létrehozni, futtassa az az acr token hitelesítőadat-generálási parancsát. A tokenek új jelszavainak újragenerálása 60 másodpercet vesz igénybe a replikáláshoz, és elérhető lesz.

Az alábbi példa egy új értéket hoz létre a MyToken-jogkivonat 1. jelszavához, amelynek lejárati ideje 30 nap. A jelszót a környezeti változóban TOKEN_PWDtárolja. Ez a példa a bash-rendszerhéjhoz van formázva.

TOKEN_PWD=$(az acr token credential generate \
  --name MyToken --registry myregistry --expiration-in-days 30 \
  --password1 --query 'passwords[0].value' --output tsv)

Ha az Azure Portal használatával szeretne jogkivonatjelszót létrehozni, tekintse meg a jelen cikk korábbi, Jogkivonat létrehozása – portál című szakaszának lépéseit.

Token frissítése új hatókörrel

Ha egy jogkivonatot egy másik hatókör-térképpel szeretne frissíteni, adja ki a parancsot az acr token update és adja meg az új hatókör-térképet. Például:

az acr token update --name MyToken --registry myregistry \
  --scope-map MyNewScopeMap

A portál Jogkivonatok képernyőjén válassza ki a jogkivonatot, és a Hatókörtérkép alatt válasszon egy másik hatókörtérképet.

Jótanács

Miután frissített egy token-t egy új hatókör-térképpel, érdemes lehet új token jelszavakat létrehoznia. Használja az az acr token hitelesítőadat-generáló parancsot, vagy generáljon újra egy token jelszót az Azure portalon.

Token letiltása vagy törlése

Előfordulhat, hogy átmenetileg le kell tiltania a jogkivonat hitelesítő adatainak használatát egy felhasználó vagy szolgáltatás számára.

Az Azure CLI használatával futtassa az az acr token update parancsot a status következő érték beállítására disabled:

az acr token update --name MyToken --registry myregistry \
  --status disabled

A portálon válassza ki a jogkivonatot a Jogkivonatok képernyőn, és válassza a Letiltva lehetőséget az Állapot alatt.

Ha törölni szeretne egy jogkivonatot, hogy véglegesen érvénytelenítse a hitelesítő adatait használók hozzáférését, futtassa az az acr token törlés parancsot.

az acr token delete --name MyToken --registry myregistry

A portálon válassza ki a jogkivonatot a Jogkivonatok képernyőn, és válassza az Elvetés lehetőséget.

Következő lépések

• A hatókör-térképek és -jogkivonatok kezeléséhez használjon további parancsokat az az acr scope-map és az acr token parancscsoportokban.
• Tekintse meg az Azure-tárolóregisztrációs adatbázissal történő hitelesítés egyéb lehetőségeit, beleértve a Microsoft Entra-identitás, a szolgáltatásnév vagy a rendszergazdai fiók használatát.
• Ismerje meg a csatlakoztatott regisztrációs adatbázisokat, és használjon jogkivonatokat a hozzáféréshez.