Condividi tramite


Consentire ai servizi attendibili di accedere in modo sicuro a un registro contenitori con restrizioni di rete

Registro Azure Container può consentire ai servizi di Azure attendibili di accedere a un registro configurato con le regole di accesso alla rete. Quando sono consentiti servizi attendibili, un'istanza del servizio attendibile può ignorare in modo sicuro le regole di rete del Registro di sistema ed eseguire operazioni come il pull o il push delle immagini. Questo articolo illustra come abilitare e usare servizi attendibili con un Registro Azure Container con restrizioni di rete.

Usare gli esempi di comandi di questo articolo è possibile usare Azure Cloud Shell o un'installazione locale dell'interfaccia della riga di comando di Azure. Se si preferisce l'interfaccia locale, è necessario usare la versione 2.18 o successiva. Eseguire az --version per trovare la versione. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure.

Limiti

  • Alcuni scenari di accesso al Registro di sistema con servizi attendibili richiedono un'identità gestita per le risorse di Azure. A meno che non sia chiaramente indicato che un'identità gestita assegnata dall'utente è supportata, è possibile usare solo un'identità assegnata dal sistema.
  • L'autorizzazione dei servizi attendibili non si applica a un registro contenitori configurato con un endpoint servizio. La funzionalità influisce solo sui registri con restrizioni con un endpoint privato o in cui sono applicate le regole di accesso IP pubblico.

Informazioni sui servizi attendibili

Registro Azure Container ha un modello di sicurezza a più livelli, che supporta più configurazioni di rete che limitano l'accesso a un registro, tra cui:

  • Endpoint privato con collegamento privato di Azure. Se configurato, l'endpoint privato di un Registro di sistema è accessibile solo alle risorse all'interno della rete virtuale che usano indirizzi IP privati.
  • Regole del firewall del Registro di sistema, che consentono l'accesso all'endpoint pubblico del Registro di sistema solo da specifici indirizzi IP pubblici o intervalli di indirizzi. È anche possibile configurare il firewall per bloccare l'accesso all'endpoint pubblico quando si usano endpoint privati.

Quando viene distribuita in una rete virtuale o configurata con regole del firewall, un registro nega l'accesso a utenti o servizi che si trovano all'esterno di tali origini.

Diversi servizi di Azure multi-tenant operano da reti che non possono essere incluse in queste impostazioni di rete del Registro di sistema, impedendo loro di eseguire operazioni come il pull o il push di immagini nel Registro di sistema. Designando alcune istanze del servizio come "attendibili", un proprietario del Registro di sistema può consentire alle risorse di Azure di ignorare in modo sicuro le impostazioni di rete del Registro di sistema per eseguire operazioni del Registro di sistema.

Servizi attendibili

Le istanze dei servizi seguenti possono accedere a un registro contenitori con restrizioni di rete se l'impostazione del registro di sistema consentire i servizi attendibili è abilitata (impostazione predefinita). Nel corso del tempo verranno aggiunti altri servizi.

Se indicato, l'accesso dal servizio attendibile richiede una configurazione aggiuntiva di un'identità gestita in un'istanza del servizio, l'assegnazione di un ruolo di controllo degli accessi in base al ruolo e l'autenticazione con il Registro di sistema. Per i passi di esempio, vedere Flusso di lavoro dei servizi attendibili, più avanti in questo articolo.

Servizio attendibile Scenari di utilizzo supportati Configurare l'identità gestita con il ruolo Controllo degli accessi in base al ruolo
Istanze di Azure Container Implementare in Istanze di Azure Container da Registro Azure Container usando un'identità gestita Sì, identità assegnata dal sistema o assegnata dall'utente
Microsoft Defender for Cloud Analisi delle vulnerabilità da parte di Microsoft Defender per registri contenitori No
Attività del Registro Azure Container Accedere al Registro di sistema padre o a un registro diverso da un'attività del Registro Azure Container
Machine Learning Implementare o eseguire il training di un modello in un'area di lavoro di Machine Learning usando un'immagine del contenitore Docker personalizzata
Registro Azure Container Importare immagini da o verso un Registro Azure Container con restrizioni di rete No

Nota

Attualmente, l'abilitazione dell'impostazione Consenti servizi attendibili non si applica al servizio app.

Consenti servizi attendibili - Interfaccia della riga di comando

Per impostazione predefinita, l'impostazione Consenti servizi attendibili è abilitata in un nuovo Registro Azure Container. Disabilitare o abilitare l'impostazione eseguendo il comando az acr update.

Per disabilitare:

az acr update --name myregistry --allow-trusted-services false

Per abilitare l'impostazione in un registro esistente o in un registro in cui è già disabilitata:

az acr update --name myregistry --allow-trusted-services true

Consenti servizi attendibili - Portale

Per impostazione predefinita, l'impostazione Consenti servizi attendibili è abilitata in un nuovo Registro Azure Container.

Per disabilitare o riabilitare l'impostazione nel portale:

  1. Nel portale passare al registro contenitori.
  2. In Impostazioni selezionare Rete.
  3. In Consenti l'accesso alla rete pubblica selezionare Reti selezionate o Disabilitato.
  4. Eseguire una delle operazioni seguenti:
    • Per disabilitare l'accesso da parte di servizi attendibili, in Eccezione firewall deselezionare Consenti ai servizi Microsoft attendibili di accedere a questo registro contenitori.
    • Per consentire l'accesso ai servizi attendibili, in Eccezione firewall deselezionare Consenti ai servizi Microsoft attendibili di accedere a questo registro contenitori.
  5. Seleziona Salva.

Flusso di lavoro dei servizi attendibili

Ecco un flusso di lavoro tipico per consentire a un'istanza di un servizio attendibile di accedere a un registro contenitori con restrizioni di rete. Questo flusso di lavoro è necessario quando viene usata l'identità gestita di un'istanza del servizio per ignorare le regole di rete del Registro di sistema.

  1. Abilitare un'identità gestita in un'istanza di uno dei servizi attendibili per il Registro Azure Container.
  2. Assegnare l'identità a un ruolo di Azure per il Registro di sistema. Ad esempio, assegnare il ruolo ACRPull per eseguire il pull delle immagini del contenitore.
  3. Nel Registro di sistema con restrizioni di rete configurare l'impostazione per consentire l'accesso da parte di servizi attendibili.
  4. Usare le credenziali dell'identità per eseguire l'autenticazione sul registro di sistema con restrizioni di rete.
  5. Eseguire il pull delle immagini dal Registro di sistema o eseguire altre operazioni consentite dal ruolo.

Esempio: Attività del Registro Azure Container

L'esempio seguente illustra l'uso di Attività del Registro Azure Container come servizio attendibile. Per informazioni dettagliate sulle attività, vedere Autenticazione tra registri in un'attività del Registro Azure Container usando un'identità gestita da Azure.

  1. Creare o aggiornare un Registro Azure Container. Creare un'attività del Registro Azure Container.
    • Abilitare un'identità gestita assegnata dal sistema durante la creazione dell'attività.
    • Disabilitare la modalità di autenticazione predefinita (--auth-mode None) dell'attività.
  2. Assegnare l'identità dell'attività a un ruolo di Azure per accedere al Registro di sistema. Ad esempio, assegnare il ruolo AcrPush, che dispone delle autorizzazioni per eseguire il pull e il push delle immagini.
  3. Aggiungere le credenziali di identità gestite per il Registro di sistema all'attività.
  4. Per verificare che l'attività ignori le restrizioni di rete, disabilitare l'accesso pubblico nel Registro di sistema.
  5. Eseguire l'attività. Se il Registro di sistema e l'attività sono configurati in modo appropriato, l'attività viene eseguita correttamente, perché il Registro di sistema consente l'accesso.

Per testare la disabilitazione dell'accesso da parte di servizi attendibili:

  1. Disabilitare l'impostazione per consentire l'accesso da parte di servizi attendibili.
  2. Eseguire di nuovo l'attività. In questo caso, l'esecuzione dell'attività non riesce perché il Registro di sistema non consente più l'accesso da parte dell'attività.

Passaggi successivi