ACR タスク networkRuleBypassAllowedForTasks 設定は、ユーザーがタスクのネットワーク バイパスにオプトインできるようにする新しいポリシー設定です。
ACR の信頼されたサービスで説明したように、一部のユーザーは、コンテナー レジストリへのネットワーク制限付きアクセスを必要とします。 このネットワーク制限により、定義されたルール アクセスに基づいて、特定のサービスまたは ID がネットワーク制御をバイパスできます。
変更が行われているのはなぜですか?
ACR ユーザーは、システム割り当てマネージド ID (SAMI) を使用してコンテナー レジストリで認証するようにタスクを構成できます。 ただし、レジストリがネットワーク分離されている場合、レジストリ所有者は[信頼できる Microsoft サービスがこのコンテナー レジストリにアクセスすることを許可する]を指定できます。 ACR タスクは、 信頼できるサービスとして一覧表示から移行しました。 レジストリ所有者は、信頼されたサービス設定を有効にして、信頼されたサービスとしてのタスクを引き続き許可できるため、新しいポリシー設定では、既定でこれを無効にして、顧客のワークフローをセキュリティで保護します。
変更はいつ有効になりますか?
次の 2 つのフェーズがあります。
2025 年 5 月 16 日に、
networkRuleBypassAllowedForTasksというレジストリ ポリシー設定が導入され、既存のワークフローが中断されることはありません。2025 年 6 月 1 日から、既定のネットワーク バイパス ポリシーの動作が変更されます。 新しい設定が未設定の場合、System-Assigned マネージド ID (SAMI) トークンを使用するタスクのネットワーク バイパスは既定で拒否され、機能を復元するには明示的な構成が必要になります。 コンテナー レジストリ タスクのネットワーク バイパスに依存しているが、新しいポリシー設定を明示的に設定していないお客様は、
403 forbidden errorsが発生します。
Von Bedeutung
User-Assigned ID を使用しているお客様に影響はありません
必須アクション: 2025 年 6 月 1 日より、新しく構成されたタスク ワークフローで新しいネットワーク バイパス ポリシーを使用する必要があります。 潜在的な問題を回避するには、この新機能を使用するように構成を更新するか、またはエージェント プールを使用するように構成を更新してください。 コンテナー レジストリ タスクのネットワーク バイパスに依存しているが、新しいポリシー設定を明示的に設定していないお客様は、 403 forbidden errorsが発生します。 または、コンテナー レジストリ エージェント プール機能を使用して、アクセスを制限することもできます。
Azure Container Registry で専用プールを使用してタスクを実行し、目的の要件に従ってファイアウォール規則や高度なネットワーク構成を構成する方法を確認します。
ネットワーク 規則バイパス ポリシー設定の有効化と無効化
新しいポリシー設定を有効または無効にするには、シナリオに関連する関連するコマンドと必要な変数を実行してください。
有効にする
registry="myregistry"
resourceGroup="myresourcegroup"
az resource update \
--namespace Microsoft.ContainerRegistry \
--resource-type registries \
--name $registry \
--resource-group $resourceGroup \
--api-version 2025-05-01-preview \
--set properties.networkRuleBypassAllowedForTasks=true
無効にする
registry="myregistry"
resourceGroup="myresourcegroup"
az resource update \
--namespace Microsoft.ContainerRegistry \
--resource-type registries \ --name $registry \
--resource-group $resourceGroup \
--api-version 2025-05-01-preview \
--set properties.networkRuleBypassAllowedForTasks=false
状態の確認
registry="myregistry"
resourceGroup="myresourcegroup"
az resource show \
--namespace Microsoft.ContainerRegistry \
--resource-type registries \
--name $registry \
--resource-group $resourceGroup \
--api-version 2025-05-01-preview \
--query properties.networkRuleBypassAllowedForTasks`
顧客シナリオ
ユース ケースに最適なシナリオをいくつか次に示します。 この手順は、Azure CLI または ARM テンプレートを使用して実行できます。 次の例では、Azure CLI に焦点を当てています。
シナリオ 1: エージェント プールを使用する
有効にする手順:
Azure Container Registry で専用プールを使用してタスクを実行し、目的の方法に従ってファイアウォール規則や高度なネットワーク構成を構成する方法を確認します。
専用エージェント プールをプロビジョニングします。
az acr agentpool create --name <agent-pool-name> --registry \
<registry-name> --vnet <vnet-name>
acr ビルドを使用するか、acr タスク コマンドを使用して自動的にトリガーされるタスクを使用して、エージェント プールで実行するクイック タスクを構成します。
az acr build --registry <registry-name> --agent-pool \
<agent-pool-name> --image <image:tag> --file Dockerfile <path>
az acr task create --name <task-name> --agent-pool \
<agent-pool-name> --registry <registry-name> --schedule <cron_format>
シナリオ 2: 新しいネットワーク バイパス ポリシー設定を有効にすることをオプトインする
registry="myregistry"
resourceGroup="myresourcegroup"
az resource update \
--namespace Microsoft.ContainerRegistry \
--resource-type registries \ --name $registry \
--resource-group $resourceGroup \
--api-version 2025-05-01-preview \
--set properties.networkRuleBypassAllowedForTasks=true
az acr build、az acr run、または az acr task run コマンドを実行し、 ストリーミングされたログを表示することで、タスクがネットワーク制限を正常にバイパスし続けることができることを確認します。
シナリオ 3: 新しいネットワーク バイパス ポリシー設定を有効にするアクションが実行されない (既定の動作)
フェーズ 1: ACR は、2025 年 5 月 16 日まで既存のnetworkRuleBypassAllowed設定を引き続き受け入れる。
フェーズ 2: 2025 年 6 月 1 日以降、networkRuleBypassAllowedForTasks設定が明示的に設定されていない場合、タスクのネットワーク バイパスは既定で拒否され、ネットワーク バイパスを必要とするタスクの403 errorsが発生します。
シナリオ 4: イメージのクリーンアップに az acr purge をローカルで使用する
新しいポリシー設定をオプトインせず、ネットワーク バイパスを使用していないユーザーは、 az acr purge コマンドを使用して ACR クリーンアップ タスクをローカルで管理できます。 これを行うには、 Azure ACR CLI GitHub から ACR CLI バイナリをダウンロードし、自分のマシンでコマンドを実行できます。 これにより、ACR タスクに依存したり、現在の構成を変更したりすることなく、不要なイメージや古いイメージをレジストリから削除できます。 消去をローカルで実行すると、すべての操作が信頼された環境内 (顧客が管理する信頼の境界) 内で実行され、ネットワーク バイパスへの依存関係が回避されます。
シナリオ 5: セルフホステッド環境でのイメージの構築と管理
オプトインせずにコンテナー イメージを構築したり、レジストリを管理したりするユーザーは、セルフホステッド環境を使用できます。 ACR レジストリに直接アクセスできる独自のエージェントまたはマシンで Docker またはコンテナー ランタイム コマンド ( docker build や docker pushなど) を実行することで、これらのタスクを安全に実行できます。 このアプローチでは、ACR タスクやネットワーク バイパスの必要性がなくなり、運用はインフラストラクチャ内で完全に実行され、ワークフローを完全に制御できます (顧客が信頼境界を管理します)。
ヘルプとサポート
サポート プランがあり、技術的なヘルプが必要な場合は、Azure portal を開き、ページの上部にある疑問符アイコンを選択します。