Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Container Registry (ACR) supporta il controllo degli accessi basato sui ruoli di Azure per gestire l'accesso al tuo registro. Se nessuno dei ruoli predefiniti di Registro Azure Container soddisfa le proprie esigenze, è possibile creare ruoli personalizzati con autorizzazioni specifiche personalizzate per lo scenario. Questo articolo descrive i passaggi per definire, creare e assegnare ruoli personalizzati per Registro Azure Container.
Autorizzazioni per ruoli personalizzati
Un set di autorizzazioni (azioni e azioni dati) definisce un ruolo personalizzato. Le autorizzazioni definite nel ruolo personalizzato determinano le operazioni che gli utenti possono eseguire sulle risorse del Registro di sistema.
Per determinare quali autorizzazioni (azioni e azioni dei dati) devono essere definite in un ruolo personalizzato, è possibile:
- Esaminare la definizione JSON della directory di ruoli predefiniti di Azure per Container, che include autorizzazioni comunemente utilizzate (azioni e azioni sui dati) nei ruoli predefiniti di ACR.
- Esaminare l'elenco completo delle autorizzazioni del provider di risorse (
Microsoft.ContainerRegistry
)
Per elencare a livello di codice tutte le autorizzazioni disponibili (azioni e azioni dati) per il Microsoft.ContainerRegistry
provider di risorse, è possibile usare i comandi seguenti dell'interfaccia della riga di comando di Azure o di Azure PowerShell.
az provider operation show --namespace Microsoft.ContainerRegistry
Get-AzProviderOperation -OperationSearchString Microsoft.ContainerRegistry/*
Esempio: ruolo personalizzato per gestire i webhook
Ad esempio, il codice JSON seguente definisce le autorizzazioni minime (azioni e azioni dei dati) per un ruolo personalizzato che consente la gestione dei webhook di ACR (Azure Container Registry).
{
"assignableScopes": [
"/subscriptions/<optional, but you can limit the visibility to one or more subscriptions>"
],
"description": "Manage Azure Container Registry webhooks.",
"Name": "Container Registry Webhook Contributor",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/write",
"Microsoft.ContainerRegistry/registries/webhooks/delete"
],
"dataActions": [],
"notActions": [],
"notDataActions": []
}
],
"roleType": "CustomRole"
}
Creazione o aggiornamento di un ruolo personalizzato
Per definire un ruolo personalizzato con una definizione JSON, vedere la procedura per creare un ruolo personalizzato. È possibile creare il ruolo personalizzato usando l'interfaccia della riga di comando di Azure, il modello di Azure Resource Manager o Azure PowerShell.
Annotazioni
Nei tenant configurati con il collegamento privato di Azure Resource Manager, Registro Azure Container supporta azioni con caratteri jolly come Microsoft.ContainerRegistry/*/read
o Microsoft.ContainerRegistry/registries/*/write
in ruoli personalizzati, concedendo l'accesso a tutte le azioni corrispondenti.
In un tenant senza un collegamento privato ARM, non usare caratteri jolly e specifica tutte le azioni richieste del registro singolarmente in un ruolo personalizzato.
Assegnazione di un ruolo personalizzato
Aggiungere o rimuovere assegnazioni di ruolo per un ruolo personalizzato nello stesso modo in cui si gestiscono le assegnazioni di ruolo per i ruoli predefiniti. Altre informazioni sull'assegnazione di ruoli di Azure a un'identità di Azure tramite il portale di Azure, l'interfaccia della riga di comando di Azure, Azure PowerShell o altri strumenti di Azure.
Passaggi successivi
- Per una panoramica generale di questi ruoli predefiniti, inclusi i tipi di identità di assegnazione di ruolo supportati, i passaggi per eseguire un'assegnazione di ruolo e i ruoli consigliati per scenari comuni, vedere Ruoli predefiniti del Registro Azure Container.
- Per eseguire assegnazioni di ruolo con condizioni facoltative ABAC di Microsoft Entra per determinare l'ambito delle assegnazioni di ruolo a repository specifici, consultare Autorizzazioni del repository basate su Microsoft Entra.
- Per avere un riferimento dettagliato di ogni ruolo integrato del Azure Container Registry, incluse le autorizzazioni concesse da ciascun ruolo, vedere il riferimento alla directory dei ruoli del Azure Container Registry.