Összetevők exportálásának letiltása egy Azure-tárolóregisztrációs adatbázisból

Ha meg szeretné akadályozni, hogy a szervezet beállításjegyzék-felhasználói rosszindulatúan vagy véletlenül kiszivárogjanak a virtuális hálózaton kívüli összetevőkből, konfigurálhatja a beállításjegyzék exportálási szabályzatát az exportálás letiltására.

Az exportálási szabályzat az API 2021-06-01-preview verziójában bevezetett tulajdonság a Prémium szintű tárolóregisztrációs adatbázisokhoz. A exportPolicy tulajdonság , ha az állapota meg van adva disabled, letiltja az összetevők exportálását egy hálózat által korlátozott beállításjegyzékből, amikor egy felhasználó megpróbálja:

• A beállításjegyzék összetevőinek importálása egy másik Azure-tárolóregisztrációs adatbázisba
• Adatbázis-exportálási folyamat létrehozása összetevők átviteléhez egy másik tárolóregisztrációs adatbázisba

Feljegyzés

Az összetevők exportálásának letiltása nem akadályozza meg a jogosult felhasználók hozzáférését a virtuális hálózaton belüli beállításjegyzékhez az összetevők lekéréséhez vagy más adatsík-műveletek végrehajtásához. A használat naplózásához javasoljuk, hogy konfigurálja a diagnosztikai beállításokat a beállításjegyzék-műveletek figyeléséhez.

Előfeltételek

• Privát végponttal konfigurált prémium szintű tárolóregisztrációs adatbázis.

• Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.

  

• Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.

  • Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.

  • Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.

  • Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.

Az exportálás letiltásának egyéb követelményei

• A nyilvános hálózati hozzáférés letiltása – Az összetevők exportálásának letiltásához a beállításjegyzékhez való nyilvános hozzáférést is le kell tiltani (a beállításjegyzék tulajdonságának a következőre kell állítania publicNetworkAccess disabled). Az exportálás letiltása vagy egyidejű letiltása előtt letilthatja a beállításjegyzék nyilvános hálózati hozzáférését.

  A beállításjegyzék nyilvános végponthoz való hozzáférésének letiltásával biztosíthatja, hogy a beállításjegyzék-műveletek csak a virtuális hálózaton belül legyenek engedélyezve. Tilos nyilvános hozzáférés a beállításjegyzékhez összetevők lekéréséhez és más műveletek végrehajtásához.

• Exportálási folyamatok eltávolítása – A beállításjegyzék állapotának exportPolicy disabledbeállítása előtt törölje a beállításjegyzékben konfigurált meglévő exportálási folyamatokat. Ha egy folyamat konfigurálva van, nem módosíthatja az állapotot exportPolicy .

Meglévő beállításjegyzék exportPolicy-jának letiltása

Beállításjegyzék létrehozásakor az exportPolicy állapot alapértelmezés szerint be van állítva enabled , ami lehetővé teszi az összetevők exportálását. Az állapotot disabled ARM-sablonra vagy parancsra az resource update frissítheti.

ARM-sablon

Az állapot frissítéséhez és a tulajdonság disabledbeállításához adja meg a publicNetworkAccess exportPolicy következő JSON-t. További információ az erőforrások ARM-sablonokkal való üzembe helyezéséről.

{
[...]
"resources": [
    {
    "type": "Microsoft.ContainerRegistry/registries",
    "apiVersion": "2021-06-01-preview",
    "name": "myregistry",
    [...]
    "properties": {
      "publicNetworkAccess": "disabled",
      "policies": {
        "exportPolicy": {
          "status": "disabled"
         }
      }
      }
    }
]
[...]
}

Azure CLI

Futtassa az az resource update parancsot egy meglévő beállításjegyzék állapotának exportPolicy beállításához disabled. Cserélje le a beállításjegyzék és az erőforráscsoport nevét.

Ahogyan az ebben a példában látható, a exportPolicy tulajdonság letiltásakor a tulajdonságot is állítsa be a publicNetworkAccess következőre disabled: .

az resource update --resource-group myResourceGroup \
    --name myregistry \
    --resource-type "Microsoft.ContainerRegistry/registries" \
    --api-version "2021-06-01-preview" \
    --set "properties.policies.exportPolicy.status=disabled" \
    --set "properties.publicNetworkAccess=disabled"  

A kimenet azt mutatja, hogy az exportálási szabályzat állapota le van tiltva.

{
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.ContainerRegistry/registries/myregistry",
  "identity": null,
  "kind": null,
  "location": "centralus",
  "managedBy": null,
  "name": "myregistry",
  "plan": null,
  "properties": {
    [...]
    "policies": {
      "exportPolicy": {
        "status": "disabled"
      },
      "quarantinePolicy": {
        "status": "disabled"
      },
      "retentionPolicy": {
        "days": 7,
        "lastUpdatedTime": "2021-07-20T23:20:30.9985256+00:00",
        "status": "disabled"
      },
      "trustPolicy": {
        "status": "disabled",
        "type": "Notary"
      },
    "privateEndpointConnections": [],
    "provisioningState": "Succeeded",
    "publicNetworkAccess": "Disabled",
    "zoneRedundancy": "Disabled"
[...]
}

ExportPolicy engedélyezése

Miután letiltotta az állapotot a exportPolicy beállításjegyzékben, bármikor újra engedélyezheti azt egy ARM-sablon vagy a az resource update parancs használatával.

ARM-sablon

Az állapot enabledfrissítéséhez adja meg a exportPolicy következő JSON-t. További információ az erőforrások ARM-sablonokkal való üzembe helyezéséről

{
[...]
"resources": [
    {
    "type": "Microsoft.ContainerRegistry/registries",
    "apiVersion": "2021-06-01-preview",
    "name": "myregistry",
    [...]
    "properties": {
     "policies": {
        "exportPolicy": {
          "status": "enabled"
         }
      }
      }
    }
]
[...]
}

Azure CLI

Futtassa az az resource update parancsot az exportPolicy állapot beállításához enabled. Cserélje le a beállításjegyzék és az erőforráscsoport nevét.

az resource update --resource-group myResourceGroup \
    --name myregistry \
    --resource-type "Microsoft.ContainerRegistry/registries" \
    --api-version "2021-06-01-preview" \
    --set "properties.policies.exportPolicy.status=enabled"

Következő lépések

• Ismerje meg az Azure Container Registry szerepköreit és engedélyeit.
• Ha meg szeretné akadályozni a beállításjegyzék-összetevők véletlen törlését, tekintse meg a tárolólemezképek zárolását.
• Az Azure-tárolóregisztrációs adatbázis biztonságossá tételéhez szükséges beépített Azure-szabályzatok ismertetése