Consentire ai servizi attendibili di accedere in modo sicuro a un registro contenitori con restrizioni di rete

  • Articolo

Registro Azure Container possibile consentire ai servizi di Azure attendibili di accedere a un registro configurato con le regole di accesso alla rete. Quando sono consentiti servizi attendibili, un'istanza del servizio attendibile può ignorare in modo sicuro le regole di rete del Registro di sistema ed eseguire operazioni come pull o immagini push. Questo articolo illustra come abilitare e usare servizi attendibili con un registro Azure Container con restrizioni di rete.

Usare azure Cloud Shell o un'installazione locale dell'interfaccia della riga di comando di Azure per eseguire gli esempi di comando in questo articolo. Se si vuole usarlo in locale, è necessaria la versione 2.18 o successiva. Eseguire az --version per trovare la versione. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure.

Limitazioni

  • Alcuni scenari di accesso al Registro di sistema con servizi attendibili richiedono un'identità gestita per le risorse di Azure. Se non si è notato che è supportata un'identità gestita assegnata dall'utente, è possibile usare solo un'identità assegnata dal sistema.
  • L'autorizzazione dei servizi attendibili non si applica a un registro contenitori configurato con un endpoint di servizio. La funzionalità influisce solo sui registri con restrizioni con un endpoint privato o con regole di accesso IP pubblico applicate.

Informazioni sui servizi attendibili

Registro Azure Container ha un modello di sicurezza a più livelli, che supporta più configurazioni di rete che limitano l'accesso a un registro, tra cui:

  • Endpoint privato con collegamento privato di Azure. Se configurato, l'endpoint privato di un registro è accessibile solo alle risorse all'interno della rete virtuale, usando indirizzi IP privati.
  • Regole del firewall del Registro di sistema, che consentono l'accesso all'endpoint pubblico del Registro di sistema solo da specifici indirizzi IP pubblici o intervalli di indirizzi. È anche possibile configurare il firewall per bloccare l'accesso all'endpoint pubblico quando si usano endpoint privati.

Quando viene distribuita in una rete virtuale o configurata con regole del firewall, un registro nega l'accesso a utenti o servizi dall'esterno di tali origini.

Diversi servizi di Azure multi-tenant operano da reti che non possono essere incluse in queste impostazioni di rete del Registro di sistema, impedendo loro di eseguire operazioni come il pull o il push di immagini nel Registro di sistema. Designando determinate istanze del servizio come "attendibili", un proprietario del Registro di sistema può consentire alle risorse di Azure di selezionare le risorse di Azure per ignorare in modo sicuro le impostazioni di rete del Registro di sistema per eseguire le operazioni del Registro di sistema.

Servizi attendibili

Le istanze dei servizi seguenti possono accedere a un registro contenitori con restrizioni di rete se l'impostazione consenti servizi attendibili del Registro di sistema è abilitata (impostazione predefinita). Nel tempo verranno aggiunti altri servizi.

Se indicato, l'accesso dal servizio attendibile richiede una configurazione aggiuntiva di un'identità gestita in un'istanza del servizio, l'assegnazione di un ruolo controllo degli accessi in base al ruolo e l'autenticazione con il Registro di sistema. Per alcuni passaggi, vedere Flusso di lavoro dei servizi attendibili più avanti in questo articolo.

Servizio attendibile Scenari di utilizzo supportati Configurare l'identità gestita con il ruolo Controllo degli accessi in base al ruolo
Istanze di Azure Container Eseguire la distribuzione in Istanze di Azure Container da Registro Azure Container usando un'identità gestita Sì, identità assegnata dal sistema o assegnata dall'utente
Microsoft Defender for Cloud Analisi delle vulnerabilità da parte di Microsoft Defender per registri contenitori No
Attività di Registro Azure Container Accedere al Registro di sistema padre o a un registro diverso da un'attività registro Azure Container
Machine Learning Distribuire o eseguire il training di un modello in un'area di lavoro di Machine Learning usando un'immagine del contenitore Docker personalizzata
Registro Azure Container Importare immagini da o verso un registro Azure Container con restrizioni di rete No

Nota

L'abilitazione dell'impostazione consenti servizi attendibili non si applica a servizio app.

Consenti servizi attendibili - Interfaccia della riga di comando

Per impostazione predefinita, l'impostazione Consenti servizi attendibili è abilitata in un nuovo registro Azure Container. Disabilitare o abilitare l'impostazione eseguendo il comando az acr update .

Per disabilitare:

az acr update --name myregistry --allow-trusted-services false

Per abilitare l'impostazione in un registro esistente o in un registro in cui è già disabilitata:

az acr update --name myregistry --allow-trusted-services true

Consenti servizi attendibili - Portale

Per impostazione predefinita, l'impostazione Consenti servizi attendibili è abilitata in un nuovo registro Azure Container.

Per disabilitare o riabilitare l'impostazione nel portale:

  1. Nel portale passare al registro contenitori.
  2. In Impostazioni selezionare Rete.
  3. In Consenti accesso alla rete pubblica selezionare Reti selezionate o Disabilitato.
  4. Eseguire una delle operazioni seguenti:
    • Per disabilitare l'accesso da parte di servizi attendibili, in Eccezione firewalldeselezionare Consenti ai servizi Microsoft attendibili di accedere a questo registro contenitori.
    • Per consentire i servizi attendibili, in Eccezione firewall, selezionare Consenti ai servizi Microsoft attendibili di accedere a questo registro contenitori.
  5. Selezionare Salva.

Flusso di lavoro dei servizi attendibili

Ecco un flusso di lavoro tipico per consentire a un'istanza di un servizio attendibile di accedere a un registro contenitori con restrizioni di rete. Questo flusso di lavoro è necessario quando viene usata l'identità gestita di un'istanza del servizio per ignorare le regole di rete del Registro di sistema.

  1. Abilitare un'identità gestita in un'istanza di uno dei servizi attendibili per Registro Azure Container.
  2. Assegnare l'identità a un ruolo di Azure al registro. Ad esempio, assegnare il ruolo ACRPull per eseguire il pull delle immagini del contenitore.
  3. Nel Registro di sistema con restrizioni di rete configurare l'impostazione per consentire l'accesso da parte di servizi attendibili.
  4. Usare le credenziali dell'identità per eseguire l'autenticazione con il Registro di sistema con restrizioni di rete.
  5. Eseguire il pull delle immagini dal Registro di sistema o eseguire altre operazioni consentite dal ruolo.

Esempio: Attività del Registro Azure Container

L'esempio seguente illustra l'uso di Attività del Registro Azure Container come servizio attendibile. Per informazioni dettagliate sulle attività, vedere Autenticazione tra registri in un'attività del Registro Azure Container usando un'identità gestita da Azure .

  1. Creare o aggiornare un registro Azure Container. Creare un'attività registro Azure Container.
    • Abilitare un'identità gestita assegnata dal sistema durante la creazione dell'attività.
    • Disabilitare la modalità di autenticazione predefinita (--auth-mode None) dell'attività.
  2. Assegnare l'identità dell'attività a un ruolo di Azure per accedere al Registro di sistema. Ad esempio, assegnare il ruolo AcrPush, che dispone delle autorizzazioni per eseguire il pull e il push delle immagini.
  3. Aggiungere le credenziali di identità gestite per il Registro di sistema all'attività.
  4. Per verificare che l'attività ignori le restrizioni di rete, disabilitare l'accesso pubblico nel Registro di sistema.
  5. Eseguire l'attività. Se il Registro di sistema e l'attività sono configurati correttamente, l'attività viene eseguita correttamente, perché il Registro di sistema consente l'accesso.

Per testare la disabilitazione dell'accesso da parte di servizi attendibili:

  1. Disabilitare l'impostazione per consentire l'accesso da parte di servizi attendibili.
  2. Eseguire di nuovo l'attività. In questo caso, l'esecuzione dell'attività ha esito negativo perché il Registro di sistema non consente più l'accesso dall'attività.

Passaggi successivi