Delen via

Aangepaste Azure Container Registry-rollen

Azure Container Registry (ACR) ondersteunt op rollen gebaseerd toegangsbeheer (RBAC) van Azure om de toegang tot uw register te beheren. Als geen van de ingebouwde Azure Container Registry-rollen aan uw behoeften voldoet, kunt u aangepaste rollen maken met verfijnde machtigingen die zijn afgestemd op uw scenario. In dit artikel worden de stappen beschreven voor het definiëren, maken en toewijzen van aangepaste rollen voor Azure Container Registry.

Aangepaste rolmachtigingen

Een set machtigingen (acties en gegevensacties) definiëren een aangepaste rol. De machtigingen die zijn gedefinieerd in de aangepaste rol bepalen welke bewerkingen gebruikers kunnen uitvoeren op registerresources.

Als u wilt bepalen welke machtigingen (acties en gegevensacties) moeten worden gedefinieerd in een aangepaste rol, kunt u het volgende doen:

Als u programmatisch alle beschikbare machtigingen (acties en gegevensacties) voor de Microsoft.ContainerRegistry resourceprovider wilt weergeven, kunt u de volgende Azure CLI- of Azure PowerShell-opdrachten gebruiken.

az provider operation show --namespace Microsoft.ContainerRegistry

Get-AzProviderOperation -OperationSearchString Microsoft.ContainerRegistry/*

Voorbeeld: Aangepaste rol voor het beheren van webhooks

Met de volgende JSON worden bijvoorbeeld de minimale machtigingen (acties en gegevensacties) gedefinieerd voor een aangepaste rol waarmee ACR-webhooks kunnen worden beheerd.

{
   "assignableScopes": [
     "/subscriptions/<optional, but you can limit the visibility to one or more subscriptions>"
   ],
   "description": "Manage Azure Container Registry webhooks.",
   "Name": "Container Registry Webhook Contributor",
   "permissions": [
     {
       "actions": [
         "Microsoft.ContainerRegistry/registries/webhooks/read",
         "Microsoft.ContainerRegistry/registries/webhooks/write",
         "Microsoft.ContainerRegistry/registries/webhooks/delete"
       ],
       "dataActions": [],
       "notActions": [],
       "notDataActions": []
     }
   ],
   "roleType": "CustomRole"
 }

Een aangepaste rol maken of bijwerken

Als u een aangepaste rol met een JSON-definitie wilt definiëren, raadpleegt u de stappen voor het maken van een aangepaste rol. U kunt de aangepaste rol maken met behulp van Azure CLI, Azure Resource Manager-sjabloon of Azure PowerShell.

Opmerking

In tenants die zijn geconfigureerd met Azure Resource Manager Private Link, ondersteunt Azure Container Registry acties met jokertekens, zoals Microsoft.ContainerRegistry/*/read of Microsoft.ContainerRegistry/registries/*/write in aangepaste rollen, waarmee toegang wordt verleend tot alle overeenkomende acties. Gebruik in een tenant zonder een privékoppeling van ARM geen jokertekens en geef alle vereiste registeracties afzonderlijk op in een aangepaste rol.

Een aangepaste rol toewijzen

Voeg roltoewijzingen voor een aangepaste rol toe of verwijder deze op dezelfde manier als u roltoewijzingen voor ingebouwde rollen beheert. Meer informatie over het toewijzen van Azure-rollen aan een Azure-identiteit met behulp van Azure Portal, de Azure CLI, Azure PowerShell of andere Azure-hulpprogramma's.

Volgende stappen

  • Zie ingebouwde rollen van Azure Container Registry RBAC voor een algemeen overzicht van deze ingebouwde rollen, waaronder ondersteunde identiteitstypen voor roltoewijzingen, stappen voor het uitvoeren van een roltoewijzing en aanbevolen rollen voor algemene scenario's.
  • Als u roltoewijzingen wilt uitvoeren met optionele Microsoft Entra ABAC-voorwaarden voor het bereik van roltoewijzingen voor specifieke opslagplaatsen, raadpleegt u machtigingen voor op Microsoft Entra gebaseerde opslagplaatsen.
  • Raadpleeg de directory van Azure Container Registry-rollen voor gedetailleerde naslaginformatie over elke ingebouwde ACR-rol, inclusief de machtigingen die door elke rol zijn verleend.