Eseguire l'autenticazione con un Registro Azure Container
Esistono diversi modi per eseguire l'autenticazione con Registro Azure Container, ognuno dei quali è applicabile a uno o più scenari di utilizzo del registro.
I modi consigliati includono:
- Eseguire l'autenticazione direttamente in un registro tramite un account di accesso singolo
- Le applicazioni e gli agenti di orchestrazione dei contenitori possono eseguire l'autenticazione automatica o "headless" usando un'entità servizio Microsoft Entra
Se si usa un registro contenitori con servizio Azure Kubernetes (AKS) o un altro cluster Kubernetes, vedere Scenari per l'autenticazione con Registro Azure Container da Kubernetes.
Opzioni di autenticazione
Nella tabella seguente sono elencati i metodi di autenticazione disponibili e gli scenari tipici. Per informazioni dettagliate, vedere contenuto collegato.
Method | Come eseguire l'autenticazione | Scenari | Controllo degli accessi in base al ruolo di Azure | Limitazioni |
---|---|---|---|---|
Singola identità di Active Directory | az acr login nell'interfaccia della riga di comando di AzureConnect-AzContainerRegistry in Azure PowerShell |
Push/pull interattivo da parte di sviluppatori, tester | Sì | Il token di Active Directory deve essere rinnovato ogni 3 ore |
Entità servizio di Active Directory | docker login az acr login nell'interfaccia della riga di comando di AzureConnect-AzContainerRegistry in Azure PowerShellImpostazioni di accesso al registro in API o strumenti Segreto pull kubernetes |
Push automatico dalla pipeline CI/CD Eseguire il pull automatico in Azure o nei servizi esterni |
Sì | La scadenza predefinita della password SP è 1 anno |
Identità gestita per le risorse di Azure | docker login az acr login nell'interfaccia della riga di comando di AzureConnect-AzContainerRegistry in Azure PowerShell |
Push automatico dalla pipeline CI/CD di Azure Eseguire il pull automatico nei servizi di Azure |
Sì | Usare solo i servizi di Azure selezionati che supportano le identità gestite per le risorse di Azure |
Identità gestita del cluster del servizio Azure Kubernetes | Collegare il Registro di sistema quando il cluster del servizio Azure Kubernetes è stato creato o aggiornato | Pull automatico nel cluster del servizio Azure Kubernetes nella stessa sottoscrizione o in una diversa | No, solo accesso pull | Disponibile solo con il cluster del servizio Azure Kubernetes Non è possibile usare per l'autenticazione tra tenant |
Entità servizio del cluster del servizio Azure Kubernetes | Abilitare quando il cluster del servizio Azure Kubernetes è stato creato o aggiornato | Eseguire il pull automatico nel cluster del servizio Azure Kubernetes dal Registro di sistema in un altro tenant di ACTIVE Directory | No, solo accesso pull | Disponibile solo con il cluster del servizio Azure Kubernetes |
Amministrazione utente | docker login |
Push/pull interattivo da parte di singoli sviluppatori o tester Distribuzione dell'immagine dal Registro di sistema al servizio app Azure o Istanze di Azure Container |
No, eseguire sempre il pull e l'accesso push | Account singolo per registro, non consigliato per più utenti |
Token di accesso con ambito repository | docker login az acr login nell'interfaccia della riga di comando di AzureConnect-AzContainerRegistry in Azure PowerShellSegreto pull kubernetes |
Push/pull interattivo nel repository da parte di singoli sviluppatori o tester Pull automatico dal repository da un singolo sistema o dispositivo esterno |
Sì | Attualmente non integrato con l'identità di Active Directory |
Account di accesso singolo con Microsoft Entra ID
Quando si usa direttamente il Registro di sistema, ad esempio il pull di immagini in e il push di immagini da una workstation di sviluppo a un registro creato, eseguire l'autenticazione usando la singola identità di Azure. Accedere all'interfaccia della riga di comando di Azure con az login e quindi eseguire il comando az acr login:
az login
az acr login --name <acrName>
Quando si esegue l'accesso con az acr login
, l'interfaccia della riga di comando usa il token creato con l'esecuzione di az login
per l'autenticazione della sessione con il registro. Per completare il flusso di autenticazione, è necessario installare e eseguire l'interfaccia della riga di comando di Docker e il daemon Docker nell'ambiente. az acr login
usa il client Docker per impostare un token Microsoft Entra nel docker.config
file. Dopo aver effettuato l'accesso in questo modo, le credenziali vengono memorizzate nella cache e i successivi comandi docker
nella sessione non richiedono il nome utente o la password.
Suggerimento
az acr login
Usare anche per autenticare una singola identità quando si desidera eseguire il push o il pull di artefatti diversi dalle immagini Docker nel registro, ad esempio gli artefatti OCI.
Per l'accesso al Registro di sistema, il token usato da az acr login
è valido per 3 ore, pertanto è consigliabile accedere sempre al Registro di sistema prima di eseguire un docker
comando. In caso di scadenza del token, è possibile aggiornarlo usando di nuovo il comando az acr login
per eseguire nuovamente l'autenticazione.
L'uso az acr login
con le identità di Azure offre il controllo degli accessi in base al ruolo di Azure. Per alcuni scenari, è possibile accedere a un registro con la propria identità individuale in Microsoft Entra ID oppure configurare altri utenti di Azure con ruoli e autorizzazioni di Azure specifici. Per gli scenari tra servizi o per gestire le esigenze di un gruppo di lavoro o di un flusso di lavoro di sviluppo in cui non si vuole gestire l'accesso individuale, è anche possibile accedere con un'identità gestita per le risorse di Azure.
az acr login with --expose-token
In alcuni casi, è necessario eseguire l'autenticazione con az acr login
quando il daemon Docker non è in esecuzione nell'ambiente. Ad esempio, potrebbe essere necessario eseguire az acr login
in uno script in Azure Cloud Shell, che fornisce l'interfaccia della riga di comando di Docker, ma non esegue il daemon Docker.
Per questo scenario, eseguire az acr login
prima con il --expose-token
parametro . Questa opzione espone un token di accesso anziché eseguire l'accesso tramite l'interfaccia della riga di comando di Docker.
az acr login --name <acrName> --expose-token
L'output visualizza il token di accesso, abbreviato qui:
{
"accessToken": "eyJhbGciOiJSUzI1NiIs[...]24V7wA",
"loginServer": "myregistry.azurecr.io"
}
Per l'autenticazione del Registro di sistema, è consigliabile archiviare le credenziali del token in un percorso sicuro e seguire le procedure consigliate per gestire le credenziali di accesso docker. Ad esempio, archiviare il valore del token in una variabile di ambiente:
TOKEN=$(az acr login --name <acrName> --expose-token --output tsv --query accessToken)
docker login
Eseguire quindi , passando 00000000-0000-0000-0000-000000000000
come nome utente e usando il token di accesso come password:
docker login myregistry.azurecr.io --username 00000000-0000-0000-0000-000000000000 --password-stdin <<< $TOKEN
Analogamente, è possibile usare il token restituito da az acr login
con il comando per eseguire l'autenticazione helm registry login
con il Registro di sistema:
echo $TOKEN | helm registry login myregistry.azurecr.io \
--username 00000000-0000-0000-0000-000000000000 \
--password-stdin
Entità servizio
Se si assegna un'entità servizio al registro, l'applicazione o il servizio può usarla per eseguire l'autenticazione headless. Le entità servizio consentono il controllo degli accessi in base al ruolo di Azure a un registro ed è possibile assegnare più entità servizio a un registro. Più entità servizio consentono di definire un accesso diverso per applicazioni diverse.
Il token di autenticazione del Registro Azure Container viene creato al momento dell'accesso al Registro Azure Container e viene aggiornato dopo le operazioni successive. Il tempo necessario per il token è di 3 ore.
I ruoli disponibili per un registro contenitori includono:
AcrPull: pull
AcrPush: pull e push
Proprietario: pull, push e assegnazione di ruoli ad altri utenti
Per un elenco completo dei ruoli, vedere Ruoli e autorizzazioni di Registro Azure Container.
Per gli script dell'interfaccia della riga di comando per creare un'entità servizio per l'autenticazione con un registro Azure Container e altre indicazioni, vedere Registro Azure Container'autenticazione con le entità servizio.
Account amministratore
Ogni registro contenitori include un account utente amministratore che, per impostazione predefinita, è disabilitato. È possibile abilitare l'utente amministratore e gestirle nella portale di Azure oppure usando l'interfaccia della riga di comando di Azure, Azure PowerShell o altri strumenti di Azure. L'account amministratore dispone delle autorizzazioni complete per il Registro di sistema.
L'account amministratore è attualmente necessario per alcuni scenari per distribuire un'immagine da un registro contenitori a determinati servizi di Azure. Ad esempio, l'account amministratore è necessario quando si usa il portale di Azure per distribuire un'immagine del contenitore da un registro direttamente in Istanze di Azure Container o azure App Web per contenitori.
Importante
L'account amministratore è pensato per consentire l'accesso al registro a un singolo utente, principalmente a scopo di test. Non è consigliabile condividere le credenziali dell'account amministratore tra più utenti. Tutti gli utenti che si autenticano con l'account amministratore vengono visualizzati come un unico utente con accesso di tipo push e pull al registro. Se si modifica o si disattiva questo account, tutti gli utenti che ne usano le credenziali non potranno più accedere al registro. Negli scenari di tipo headless è consigliabile che gli utenti e le entità servizio abbiano una propria identità.
L'account amministratore viene dotato di due password: entrambe possono essere rigenerate. Le nuove password create per gli account amministratore sono immediatamente disponibili. La rigenerazione delle password per gli account amministratore richiederà 60 secondi per la replica e sarà disponibile. Le due password consentono di mantenere la connessione al registro usando una password mentre l'altra viene rigenerata. Se l'account amministratore è abilitato, è possibile passare il nome utente e una password al comando docker login
quando richiesto, per eseguire l'autenticazione di base al registro. Ad esempio:
docker login myregistry.azurecr.io
Per le procedure consigliate per gestire le credenziali di accesso, vedere le informazioni di riferimento sul comando docker login .
Per consentire a un utente amministratore di accedere a un registro esistente, è possibile usare il parametro --admin-enabled
del comando az acr update nell'interfaccia della riga di comando di Azure:
az acr update -n <acrName> --admin-enabled true
Per abilitare l'utente amministratore nel portale di Azure, passare al registro interessato, selezionare Chiavi di accesso in IMPOSTAZIONI, quindi selezionare Abilita in Utente amministratore.