Condividi tramite


Ruoli personalizzati di Registro Azure Container

Azure Container Registry (ACR) supporta il controllo degli accessi basato sui ruoli di Azure per gestire l'accesso al tuo registro. Se nessuno dei ruoli predefiniti di Registro Azure Container soddisfa le proprie esigenze, è possibile creare ruoli personalizzati con autorizzazioni specifiche personalizzate per lo scenario. Questo articolo descrive i passaggi per definire, creare e assegnare ruoli personalizzati per Registro Azure Container.

Autorizzazioni per ruoli personalizzati

Un set di autorizzazioni (azioni e azioni dati) definisce un ruolo personalizzato. Le autorizzazioni definite nel ruolo personalizzato determinano le operazioni che gli utenti possono eseguire sulle risorse del Registro di sistema.

Per determinare quali autorizzazioni (azioni e azioni dei dati) devono essere definite in un ruolo personalizzato, è possibile:

  • Esaminare la definizione JSON della directory di ruoli predefiniti di Azure per Container, che include autorizzazioni comunemente utilizzate (azioni e azioni sui dati) nei ruoli predefiniti di ACR.
  • Esaminare l'elenco completo delle autorizzazioni del provider di risorse (Microsoft.ContainerRegistry)

Per elencare a livello di codice tutte le autorizzazioni disponibili (azioni e azioni dati) per il Microsoft.ContainerRegistry provider di risorse, è possibile usare i comandi seguenti dell'interfaccia della riga di comando di Azure o di Azure PowerShell.

az provider operation show --namespace Microsoft.ContainerRegistry
Get-AzProviderOperation -OperationSearchString Microsoft.ContainerRegistry/*

Esempio: ruolo personalizzato per gestire i webhook

Ad esempio, il codice JSON seguente definisce le autorizzazioni minime (azioni e azioni dei dati) per un ruolo personalizzato che consente la gestione dei webhook di ACR (Azure Container Registry).

{
   "assignableScopes": [
     "/subscriptions/<optional, but you can limit the visibility to one or more subscriptions>"
   ],
   "description": "Manage Azure Container Registry webhooks.",
   "Name": "Container Registry Webhook Contributor",
   "permissions": [
     {
       "actions": [
         "Microsoft.ContainerRegistry/registries/webhooks/read",
         "Microsoft.ContainerRegistry/registries/webhooks/write",
         "Microsoft.ContainerRegistry/registries/webhooks/delete"
       ],
       "dataActions": [],
       "notActions": [],
       "notDataActions": []
     }
   ],
   "roleType": "CustomRole"
 }

Creazione o aggiornamento di un ruolo personalizzato

Per definire un ruolo personalizzato con una definizione JSON, vedere la procedura per creare un ruolo personalizzato. È possibile creare il ruolo personalizzato usando l'interfaccia della riga di comando di Azure, il modello di Azure Resource Manager o Azure PowerShell.

Annotazioni

Nei tenant configurati con il collegamento privato di Azure Resource Manager, Registro Azure Container supporta azioni con caratteri jolly come Microsoft.ContainerRegistry/*/read o Microsoft.ContainerRegistry/registries/*/write in ruoli personalizzati, concedendo l'accesso a tutte le azioni corrispondenti. In un tenant senza un collegamento privato ARM, non usare caratteri jolly e specifica tutte le azioni richieste del registro singolarmente in un ruolo personalizzato.

Assegnazione di un ruolo personalizzato

Aggiungere o rimuovere assegnazioni di ruolo per un ruolo personalizzato nello stesso modo in cui si gestiscono le assegnazioni di ruolo per i ruoli predefiniti. Altre informazioni sull'assegnazione di ruoli di Azure a un'identità di Azure tramite il portale di Azure, l'interfaccia della riga di comando di Azure, Azure PowerShell o altri strumenti di Azure.

Passaggi successivi