Vertrouwde services toestaan om veilig toegang te krijgen tot een containerregister met netwerkbeperking

Met Azure Container Registry kunnen vertrouwde Azure-services worden toegestaan voor toegang tot een register dat is geconfigureerd met netwerktoegangsregels. Wanneer vertrouwde services zijn toegestaan, kan een vertrouwd service-exemplaar de netwerkregels van het register veilig omzeilen en bewerkingen uitvoeren, zoals pull- of pushinstallatiekopieën. In dit artikel wordt uitgelegd hoe u vertrouwde services inschakelt en gebruikt met een azure-containerregister met netwerkbeperking.

Gebruik de Azure Cloud Shell of een lokale installatie van de Azure CLI om de opdrachtvoorbeelden in dit artikel uit te voeren. Als u deze lokaal wilt gebruiken, is versie 2.18 of hoger vereist. Voer az --version uit om de versie te bekijken. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren.

Beperkingen

• Voor bepaalde scenario's voor registertoegang met vertrouwde services is een beheerde identiteit vereist voor Azure-resources. Behalve waar vermeld dat een door de gebruiker toegewezen beheerde identiteit wordt ondersteund, kan alleen een door het systeem toegewezen identiteit worden gebruikt.
• Vertrouwde services zijn niet van toepassing op een containerregister dat is geconfigureerd met een service-eindpunt. De functie is alleen van invloed op registers die zijn beperkt met een privé-eindpunt of waarop openbare IP-toegangsregels zijn toegepast.

Over vertrouwde services

Azure Container Registry heeft een gelaagd beveiligingsmodel dat ondersteuning biedt voor meerdere netwerkconfiguraties die de toegang tot een register beperken, waaronder:

• Privé-eindpunt met Azure Private Link. Wanneer dit is geconfigureerd, is het privé-eindpunt van een register alleen toegankelijk voor resources binnen het virtuele netwerk, met behulp van privé-IP-adressen.
• Firewallregels van het register, waardoor alleen toegang tot het openbare eindpunt van het register mogelijk is vanaf specifieke openbare IP-adressen of adresbereiken. U kunt de firewall ook configureren om alle toegang tot het openbare eindpunt te blokkeren wanneer u privé-eindpunten gebruikt.

Wanneer het is geïmplementeerd in een virtueel netwerk of geconfigureerd met firewallregels, weigert een register de toegang tot gebruikers of services van buiten die bronnen.

Verschillende Azure-services met meerdere tenants werken vanuit netwerken die niet kunnen worden opgenomen in deze registernetwerkinstellingen, waardoor ze geen bewerkingen kunnen uitvoeren, zoals pull- of pushinstallatiekopieën naar het register. Door bepaalde service-exemplaren aan te wijzen als 'vertrouwd', kan een registereigenaar toestaan dat bepaalde Azure-resources veilig de netwerkinstellingen van het register omzeilen om registerbewerkingen uit te voeren.

Vertrouwde services

Exemplaren van de volgende services hebben toegang tot een containerregister met netwerkbeperking als de instelling vertrouwde services van het register is ingeschakeld (de standaardinstelling). Er worden in de loop van de tijd meer services toegevoegd.

Indien aangegeven, vereist toegang door de vertrouwde service aanvullende configuratie van een beheerde identiteit in een service-exemplaar, toewijzing van een RBAC-rol en verificatie met het register. Zie bijvoorbeeld de werkstroom vertrouwde services verderop in dit artikel.

Vertrouwde service	Ondersteunde gebruiksscenario's	Beheerde identiteit configureren met RBAC-rol
Azure Container Instances	Implementeren in Azure Container Instances vanuit Azure Container Registry met behulp van een beheerde identiteit	Ja, door het systeem toegewezen of door de gebruiker toegewezen identiteit
Microsoft Defender for Cloud	Scannen op beveiligingsproblemen door Microsoft Defender voor containerregisters	Nee
ACR-taken	Toegang tot het bovenliggende register of een ander register dan een ACR-taak	Ja
Machine Learning	Een model implementeren of trainen in een Machine Learning-werkruimte met behulp van een aangepaste Docker-containerinstallatiekopieën	Ja
Azure Container Registry	Installatiekopieën importeren uit of uit een azure-containerregister met netwerkbeperking	Nr.

Notitie

Op dit moment is het inschakelen van de instelling vertrouwde services niet van toepassing op App Service.

Vertrouwde services toestaan - CLI

De instelling vertrouwde services toestaan is standaard ingeschakeld in een nieuw Azure-containerregister. Schakel de instelling uit of schakel deze in door de opdracht az acr update uit te voeren.

Als u het volgende wilt uitschakelen:

az acr update --name myregistry --allow-trusted-services false

Als u de instelling wilt inschakelen in een bestaand register of een register waarvoor deze al is uitgeschakeld:

az acr update --name myregistry --allow-trusted-services true

Vertrouwde services toestaan - portal

De instelling vertrouwde services toestaan is standaard ingeschakeld in een nieuw Azure-containerregister.

De instelling in de portal uitschakelen of opnieuw inschakelen:

1. Navigeer in de portal naar uw containerregister.
2. Selecteer Onder Instellingen de optie Netwerken.
3. Selecteer Geselecteerde netwerken of Uitgeschakeld in Openbare netwerktoegang toestaan.
4. Ga op een van de volgende manieren te werk:
   • Als u de toegang door vertrouwde services wilt uitschakelen, schakelt u onder Firewall-uitzondering het selectievakje Vertrouwde Microsoft-services toegang tot dit containerregister toestaan uit.
   • Als u vertrouwde services wilt toestaan, schakelt u onder Firewall-uitzondering het selectievakje Vertrouwde Microsoft-services toegang tot dit containerregister toestaan in.
5. Selecteer Opslaan.

Werkstroom vertrouwde services

Hier volgt een typische werkstroom om een exemplaar van een vertrouwde service toegang te geven tot een containerregister met netwerkbeperking. Deze werkstroom is nodig wanneer de beheerde identiteit van een service-exemplaar wordt gebruikt om de netwerkregels van het register te omzeilen.

1. Schakel een beheerde identiteit in een exemplaar van een van de vertrouwde services voor Azure Container Registry in.
2. Wijs de identiteit een Azure-rol toe aan uw register. Wijs bijvoorbeeld de ACRPull-rol toe om containerinstallatiekopieën op te halen.
3. Configureer in het register met netwerkbeperking de instelling om toegang door vertrouwde services toe te staan.
4. Gebruik de referenties van de identiteit om te verifiëren met het register met netwerkbeperking.
5. Haal installatiekopieën op uit het register of voer andere bewerkingen uit die door de rol zijn toegestaan.

Voorbeeld: ACR-taken

In het volgende voorbeeld ziet u hoe u ACR Tasks gebruikt als een vertrouwde service. Zie Verificatie tussen registers in een ACR-taak met behulp van een door Azure beheerde identiteit voor taakdetails.

1. Een Azure-containerregister maken of bijwerken. Een ACR-taak maken .
   • Schakel een door het systeem toegewezen beheerde identiteit in bij het maken van de taak.
   • Schakel de standaardverificatiemodus (--auth-mode None) van de taak uit.
2. Wijs de taak-id een Azure-rol toe om toegang te krijgen tot het register. Wijs bijvoorbeeld de rol AcrPush toe, die machtigingen heeft voor het ophalen en pushen van installatiekopieën.
3. Voeg referenties voor beheerde identiteiten voor het register toe aan de taak.
4. Als u wilt controleren of de taak netwerkbeperkingen omzeilt, schakelt u openbare toegang in het register uit.
5. Voer de taak uit. Als het register en de taak correct zijn geconfigureerd, wordt de taak uitgevoerd, omdat het register toegang toestaat.

De toegang door vertrouwde services testen:

1. Schakel de instelling uit om toegang door vertrouwde services toe te staan.
2. Voer de taak opnieuw uit. In dit geval mislukt de taakuitvoering, omdat het register geen toegang meer toestaat door de taak.

Volgende stappen

• Zie Azure Private Link configureren voor een Azure-containerregister om de toegang tot een register te beperken met behulp van een privé-eindpunt in een virtueel netwerk.
• Zie Openbare IP-netwerkregels configureren om firewallregels voor het register in te stellen.