Niet-Microsoft Entra-tokenmachtigingen voor opslagplaatsen in Azure Container Registry

In dit artikel wordt beschreven hoe u tokens en bereiktoewijzingen maakt om de toegang tot opslagplaatsen in uw containerregister te beheren. Door tokens te maken, kan een registereigenaar gebruikers of services voorzien van beperkte toegang tot opslagplaatsen om installatiekopieën op te halen of te pushen of andere acties uit te voeren. Een token biedt meer verfijnde machtigingen dan andere opties voor registerverificatie, waarmee machtigingen voor een volledig register worden bereikt.

Opmerking

Niet-Microsoft Entra-tokens en -bereiktoewijzingen kunnen worden gebruikt voor het beheren van opslagplaatsmachtigingen zonder het gebruik van Microsoft Entra. Als u opslagplaatsmachtigingen wilt beheren met roltoewijzingen van Microsoft Entra-rollen voor Microsoft Entra-identiteiten, raadpleegt u Op kenmerken gebaseerd toegangsbeheer (ABAC) van Microsoft Entra voor machtigingen voor opslagplaatsen.

Veelvoorkomende scenario's voor het maken van een token zijn:

• IoT-apparaten met afzonderlijke tokens toestaan een afbeelding op te halen uit een opslagplaats.
• Geef een externe organisatie machtigingen op voor een opslagplaatspad.
• Beperk de toegang tot opslagplaatsen tot verschillende gebruikersgroepen in uw organisatie. Geef bijvoorbeeld schrijf- en leestoegang op voor ontwikkelaars die installatiekopieën bouwen die gericht zijn op specifieke opslagplaatsen en leestoegang tot teams die vanuit deze opslagplaatsen implementeren.

Deze functie is beschikbaar in alle servicelagen. Voor informatie over registerservicelagen en -limieten, zie Azure Container Registry-servicelagen.

Beperkingen

• U kunt momenteel geen machtigingen binnen het bereik van de opslagplaats toewijzen aan een Microsoft Entra-identiteit, zoals een service-principal of beheerde identiteit.

Concepten

Als u machtigingen voor het bereik van de opslagplaats wilt configureren, maakt u een token met een gekoppelde bereiktoewijzing.

• Met een token en een gegenereerd wachtwoord kan de gebruiker zich verifiëren met het register. U kunt een vervaldatum voor een tokenwachtwoord instellen of een token op elk gewenst moment uitschakelen.

  Na verificatie met een token kan de gebruiker of service een of meer acties uitvoeren die zijn gericht op een of meer opslagplaatsen.

  Handeling	Beschrijving	Voorbeeld
  content/delete	Gegevens uit de opslagplaats verwijderen	Een opslagplaats of een manifest verwijderen
  content/read	Gegevens uit de opslagplaats lezen	Een artefact ophalen
  content/write	Gegevens naar de opslagplaats schrijven	Gebruik met content/read om een artefact te pushen
  metadata/read	Metagegevens uit de opslagplaats lezen	Lijsttags of manifesten
  metadata/write	Metagegevens naar de opslagplaats schrijven	Lees-, schrijf- of verwijderbewerkingen in- of uitschakelen

Opmerking

Machtigingen binnen het bereik van de opslagplaats bieden geen ondersteuning voor de mogelijkheid om de catalogus van alle opslagplaatsen in het register weer te geven.

• Een bereiktoewijzing groepeert de opslagplaatsmachtigingen die u op een token toepast en kan opnieuw worden toegepast op andere tokens. Elk token is gekoppeld aan één bereiktoewijzing. Met een bereiktoewijzing kunt u het volgende doen:

  • Configureer meerdere tokens met identieke machtigingen voor een set opslagplaatsen.
  • Werk tokenmachtigingen bij wanneer u opslagplaatsacties toevoegt of verwijdert in de bereikaanduiding, of een andere bereikaanduiding toepast.

  Azure Container Registry biedt ook verschillende door het systeem gedefinieerde bereiktoewijzingen die u kunt toepassen bij het maken van tokens. De machtigingen van door het systeem gedefinieerde bereiktoewijzingen zijn van toepassing op alle opslagplaatsen in uw register. De afzonderlijke acties komen overeen met de limiet van opslagplaatsen per bereiktoewijzing.

In de volgende afbeelding ziet u de relatie tussen tokens en bereiktoewijzingen.

Vereiste voorwaarden

• Azure CLI - Voorbeelden van Azure CLI-opdrachten in dit artikel vereisen Azure CLI versie 2.17.0 of hoger. Voer az --version uit om de versie te vinden. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren.
• Docker : als u wilt verifiëren met het register om installatiekopieën op te halen of te pushen, hebt u een lokale Docker-installatie nodig. Docker biedt installatie-instructies voor de systemen macOS, Windows en Linux.
• Containerregister : als u er nog geen hebt, maakt u een containerregister in uw Azure-abonnement. Gebruik bijvoorbeeld De Azure-portal of de Azure CLI.

Token maken - CLI

Token maken en opslagplaatsen opgeven

Maak een token met behulp van de opdracht az acr token create . Wanneer u een token maakt, kunt u een of meer opslagplaatsen en bijbehorende acties voor elke opslagplaats opgeven. De opslagplaatsen hoeven nog niet in het register te staan. Als u een token wilt maken door een bestaande bereiktoewijzing op te geven, raadpleegt u de volgende sectie.

In het volgende voorbeeld wordt een token gemaakt in het register myregistry Standaard stelt de opdracht de standaardtokenstatus enabledin op, maar u kunt de status disabled op elk gewenst moment bijwerken.

az acr token create --name MyToken --registry myregistry \
  --repository samples/hello-world \
  content/write content/read \
  --output json

In de uitvoer worden details van het token weergegeven. Standaard worden twee wachtwoorden gegenereerd die niet verlopen, maar u kunt desgewenst een vervaldatum instellen. Het is raadzaam om de wachtwoorden op een veilige plaats op te slaan om later te gebruiken voor verificatie. De wachtwoorden kunnen niet opnieuw worden opgehaald, maar er kunnen nieuwe worden gegenereerd.

{
  "creationDate": "2020-01-18T00:15:34.066221+00:00",
  "credentials": {
    "certificates": [],
    "passwords": [
      {
        "creationTime": "2020-01-18T00:15:52.837651+00:00",
        "expiry": null,
        "name": "password1",
        "value": "uH54BxxxxK7KOxxxxRbr26dAs8JXxxxx"
      },
      {
        "creationTime": "2020-01-18T00:15:52.837651+00:00",
        "expiry": null,
        "name": "password2",
        "value": "kPX6Or/xxxxLXpqowxxxxkA0idwLtmxxxx"
      }
    ],
    "username": "MyToken"
  },
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myresourcegroup/providers/Microsoft.ContainerRegistry/registries/myregistry/tokens/MyToken",
  "name": "MyToken",
  "objectId": null,
  "provisioningState": "Succeeded",
  "resourceGroup": "myresourcegroup",
  "scopeMapId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myresourcegroup/providers/Microsoft.ContainerRegistry/registries/myregistry/scopeMaps/MyToken-scope-map",
  "status": "enabled",
  "type": "Microsoft.ContainerRegistry/registries/tokens"
}

Opmerking

Zie Tokenwachtwoorden en verloopperioden opnieuw genereren verderop in dit artikel om tokenwachtwoorden opnieuw te genereren.

De uitvoer bevat details over de bereiktoewijzing die door de opdracht is gemaakt. U kunt de bereiktoewijzing, hier benoemd MyToken-scope-map, gebruiken om dezelfde opslagplaatsacties toe te passen op andere tokens. Of werk de bereiktoewijzing later bij om de machtigingen van de gekoppelde tokens te wijzigen.

Token maken en bereiktoewijzing opgeven

Een andere manier om een token te maken, is door een bestaande bereiktoewijzing op te geven. Als u nog geen overzichtskaart hebt, maak er dan eerst een aan door opslagplaatsen en bijbehorende acties op te geven. Geef vervolgens de bereiktoewijzing op bij het maken van een token.

Gebruik de opdracht az acr scope-map create om een scope-map te maken. Met de volgende opdracht maakt u een bereiktoewijzing met dezelfde machtigingen voor de samples/hello-world opslagplaats die eerder is gebruikt.

az acr scope-map create --name MyScopeMap --registry myregistry \
  --repository samples/hello-world \
  content/write content/read \
  --description "Sample scope map"

Voer az acr token create uit om een token te maken, waarbij u de bereiktoewijzing MyScopeMap opgeeft. Net als in het vorige voorbeeld wordt met de opdracht de standaardtokenstatus ingesteld op enabled.

az acr token create --name MyToken \
  --registry myregistry \
  --scope-map MyScopeMap

In de uitvoer worden details van het token weergegeven. Standaard worden twee wachtwoorden gegenereerd. Het is raadzaam om de wachtwoorden op een veilige plaats op te slaan om later te gebruiken voor verificatie. De wachtwoorden kunnen niet opnieuw worden opgehaald, maar er kunnen nieuwe worden gegenereerd.

Opmerking

Zie Tokenwachtwoorden en verloopperioden opnieuw genereren verderop in dit artikel om tokenwachtwoorden opnieuw te genereren.

Bereiktoewijzingen gebruiken om machtigingen voor meerdere opslagplaatsen te definiëren en toe te wijzen

Met een scope map kan een wildcard-teken worden gebruikt om vergelijkbare machtigingen te definiëren en verlenen voor meerdere repositories die een gemeenschappelijk voorvoegsel delen. Opslagplaatsen met specifieke machtigingen, opslagplaatsen met een jokerteken kunnen ook worden gebruikt in dezelfde bereiktoewijzing. Dit biedt flexibiliteit bij het beheren van machtigingen voor meerdere opslagplaatsen in één toewijzing van reikwijdte.

Opslagplaatsmachtigingen kunnen worden gemaakt wanneer een bereiktoewijzing wordt gemaakt en toegewezen aan een token. U kunt ook een token maken en rechtstreeks toewijzen aan een opslagplaats.

In het volgende voorbeeld wordt een bereiktoewijzing met een jokerteken gemaakt en vervolgens toegewezen aan een token.

az acr scope-map create --name MyScopeMapWildcard --registry myregistry \
  --repository samples/* \
  content/write content/read \
  --description "Sample scope map with wildcards"
az acr token create --name MyTokenWildcard \
  --registry myregistry \
  --scope-map MyScopeMapWildcard

In het volgende voorbeeld wordt een token met een wildcard gemaakt.

 az acr token create --name MyTokenWildcard --registry myregistry \
  --repository samples/* \
  content/write content/read \

De machtigingen voor jokertekens zijn additief, wat betekent dat wanneer een specifieke opslagplaats wordt geopend, de resulterende machtigingen de machtigingen bevatten voor alle bereiktoewijzingsregels die overeenkomen met het jokertekenvoorvoegsel.

In dit voorbeeld definieert de scopetoewijzing machtigingen voor drie verschillende typen opslagplaatsen:

Opslagplaats	Toestemming
sample/*	content/read
sample/teamA/*	content/write
sample/teamA/projectB	content/delete

Aan het token wordt een bereiktoewijzing toegewezen om machtigingen te verlenen [content/read, content/write, content/delete] voor toegang tot de opslagplaats sample/teamA/projectB. Wanneer hetzelfde token echter wordt gebruikt voor toegang tot de sample/teamA/projectC opslagplaats, heeft [content/read, content/write] het alleen machtigingen.

Belangrijk

Opslagplaatsen met jokertekens in de bereiktoewijzing moeten altijd eindigen met een /* achtervoegsel om geldig te zijn en één jokerteken in de naam van de opslagplaats te hebben. Hier volgen enkele voorbeelden van ongeldige jokertekens:

• sample/*/teamA met een jokerteken in het midden van de naam van de opslagplaats.
• sample/teamA* met een wildcard eindigt niet op `/*``.
• sample/teamA/*/projectB/* met meerdere jokertekens in de naam van de opslagplaats.

Jokertekens op wortelniveau

Jokertekens kunnen ook op hoofdniveau worden toegepast. Dit betekent dat alle machtigingen die zijn toegewezen aan de opslagplaats die is gedefinieerd als *, worden toegepast op het hele register.

In het voorbeeld ziet u hoe u een token maakt met een jokerteken op hoofdniveau waarmee de tokenmachtigingen [content/read, content/write] worden verleend aan alle opslagplaatsen in het register. Dit biedt een eenvoudige manier om machtigingen te verlenen aan alle opslagplaatsen in het register zonder dat u elke opslagplaats afzonderlijk hoeft op te geven.

 az acr token create --name MyTokenWildcard --registry myregistry \
  --repository * \
  content/write content/read \

Belangrijk

Als een jokertekenregel een opslagplaats omvat die nog niet bestaat, zijn de machtigingen van de jokertekenregel nog steeds van toepassing op die naam van de opslagplaats. Bijvoorbeeld een token dat is toegewezen aan een scope map die [content/write, metadata/write] machtigingen verleent voor sample/* opslagplaatsen. Stel dat de opslagplaats sample/teamC/teamCimage nog niet bestaat. Het token heeft machtigingen voor het pushen van afbeeldingen naar de opslagplaats sample/teamC/teamCimage, en daarbij wordt de opslagplaats aangemaakt bij een geslaagde push.

Token maken in portaal

U kunt de Azure-portal gebruiken om tokens en scopemaps te maken. Net als bij de az acr token create CLI-opdracht kunt u een bestaande bereiktoewijzing toepassen of een bereiktoewijzing maken wanneer u een token maakt door een of meer opslagplaatsen en gekoppelde acties op te geven. De opslagplaatsen hoeven nog niet in het register te staan.

In het volgende voorbeeld wordt een token gemaakt en wordt een bereiktoewijzing gemaakt met de volgende machtigingen voor de samples/hello-world opslagplaats: content/write en content/read.

1. Navigeer in de portal naar uw containerregister.

2. Onder Opslagplaatsmachtigingen, selecteer Tokens > +Toevoegen.

   

3. Voer een tokennaam in.

4. Selecteer Nieuwe maken onder Bereiktoewijzing.

5. Configureer de bereikkaart.

   1. Voer een naam en beschrijving in voor de bereikkaart.

   2. Onder Repository's, voer samples/hello-world in, en onder Machtigingen, selecteer content/read en content/write. Klik vervolgens op Toevoegen.

      

   3. Nadat u opslagplaatsen en machtigingen hebt toegevoegd, selecteert u Toevoegen om de scope map toe te voegen.

6. Accepteer de standaardtoken Status van Ingeschakeld en selecteer Maken.

Nadat het token is gevalideerd en gemaakt, worden tokendetails weergegeven in het scherm Tokens .

Tokenwachtwoord toevoegen

Als u een token wilt gebruiken dat in de portal is gemaakt, moet u een wachtwoord genereren. U kunt een of twee wachtwoorden genereren en een vervaldatum voor elk wachtwoord instellen. Nieuwe wachtwoorden die voor tokens zijn gemaakt, zijn onmiddellijk beschikbaar. Het opnieuw genereren van nieuwe wachtwoorden voor tokens duurt 60 seconden om te repliceren en beschikbaar te zijn.

1. Navigeer in de portal naar uw containerregister.

2. Selecteer onder Opslagplaatsmachtigingen tokens en selecteer een token.

3. Selecteer in de details van het token wachtwoord1 of wachtwoord2 en selecteer het pictogram Genereren.

4. Stel in het wachtwoordscherm desgewenst een vervaldatum in voor het wachtwoord en selecteer Genereren. Het is raadzaam om een vervaldatum in te stellen.

5. Nadat u een wachtwoord hebt gegenereerd, kopieert en slaat u het op een veilige locatie op. U kunt een gegenereerd wachtwoord niet ophalen nadat u het scherm hebt gesloten, maar u kunt wel een nieuw wachtwoord genereren.

   

Verifiëren met token

Wanneer een gebruiker of service een token gebruikt om te verifiëren bij het doelregister, geeft deze de tokennaam op als gebruikersnaam en een van de gegenereerde wachtwoorden.

De verificatiemethode is afhankelijk van de geconfigureerde actie of acties die aan het token zijn gekoppeld.

Handeling	Hoe te verifiëren
content/delete	az acr repository delete in Azure CLI Voorbeeld: az acr repository delete --name myregistry --repository myrepo --username MyToken --password xxxxxxxxxx
content/read	docker login az acr login in Azure CLI Voorbeeld: az acr login --name myregistry --username MyToken --password xxxxxxxxxx
content/write	docker login az acr login in Azure CLI
metadata/read	az acr repository show az acr repository show-tags az acr manifest list-metadata in Azure CLI
metadata/write	az acr repository untag az acr repository update in Azure CLI

Voorbeelden: Token gebruiken

In de volgende voorbeelden wordt het token gebruikt dat eerder in dit artikel is gemaakt om veelvoorkomende bewerkingen op een repository uit te voeren: images pushen en pullen, images verwijderen en repository-tags weergeven. Het token is in eerste instantie ingesteld met pushmachtigingen (content/write en content/read acties) in de samples/hello-world opslagplaats.

Testafbeeldingen ophalen en taggen

Voor de volgende voorbeelden haalt u openbare hello-world en nginx images uit Microsoft Container Registry op en tagt u deze voor uw register en repository.

docker pull mcr.microsoft.com/hello-world
docker pull mcr.microsoft.com/oss/nginx/nginx:1.15.5-alpine
docker tag mcr.microsoft.com/hello-world myregistry.azurecr.io/samples/hello-world:v1
docker tag mcr.microsoft.com/oss/nginx/nginx:1.15.5-alpine myregistry.azurecr.io/samples/nginx:v1

Verifiëren met behulp van token

Voer docker login of az acr login uit om te authenticeren met het register om afbeeldingen te pushen of te pullen. Geef de tokennaam op als gebruikersnaam en geef een van de wachtwoorden op. Het token moet de Enabled status hebben.

Het volgende voorbeeld is opgemaakt voor de bash-shell en biedt de waarden met behulp van omgevingsvariabelen.

TOKEN_NAME=MyToken
TOKEN_PWD=<token password>

echo $TOKEN_PWD | docker login --username $TOKEN_NAME --password-stdin myregistry.azurecr.io

Uitvoer moet geslaagde verificatie tonen:

Login Succeeded

Afbeeldingen naar de registry pushen

Nadat u zich met succes hebt aangemeld, probeert u de getagde afbeeldingen naar de registry te pushen. Omdat het token machtigingen heeft om afbeeldingen naar de samples/hello-world opslagplaats te pushen, slaagt de volgende push:

docker push myregistry.azurecr.io/samples/hello-world:v1

Het token heeft geen machtigingen voor de samples/nginx opslagplaats, dus de volgende pushpoging mislukt met een fout die vergelijkbaar is met requested access to the resource is denied:

docker push myregistry.azurecr.io/samples/nginx:v1

Tokenmachtigingen bijwerken

Als u de machtigingen van een token wilt bijwerken, werkt u de machtigingen in de gekoppelde bereiktoewijzing bij. De bijgewerkte bereiktoewijzing wordt onmiddellijk toegepast op alle gekoppelde tokens.

Werk bijvoorbeeld MyToken-scope-map bij met content/write en content/read acties in de samples/ngnx opslagplaats en verwijder de content/write actie in de samples/hello-world opslagplaats.

Om de Azure CLI te gebruiken, voert u het commando az acr scope-map update uit om de scope bij te werken.

az acr scope-map update \
  --name MyScopeMap \
  --registry myregistry \
  --add-repository samples/nginx content/write content/read \
  --remove-repository samples/hello-world content/write 

In het Azure Portal:

1. Navigeer naar het containerregister.
2. Onder Opslagplaatsmachtigingen selecteer Bereiktoewijzingen, en selecteer de bereiktoewijzing die u wilt bijwerken.
3. Onder Repository's, voer samples/nginx in, en onder Machtigingen, selecteer content/read en content/write. Klik vervolgens op Toevoegen.
4. Onder Opslagplaatsen selecteer samples/hello-world en onder Machtigingen deselecteer content/write. Vervolgens selecteer Opslaan.

Na het bijwerken van de bereiktoewijzing slaagt de volgende pushbewerking:

docker push myregistry.azurecr.io/samples/nginx:v1

Omdat de scopemap alleen de content/read toestemming voor de samples/hello-world opslagplaats heeft, mislukt een poging om te pushen naar de samples/hello-world opslagplaats momenteel.

docker push myregistry.azurecr.io/samples/hello-world:v1

Het ophalen van afbeeldingen uit beide opslagplaatsen slaagt, omdat het toegangsbereik content/read machtigingen biedt voor beide opslagplaatsen.

docker pull myregistry.azurecr.io/samples/nginx:v1
docker pull myregistry.azurecr.io/samples/hello-world:v1

Afbeeldingen verwijderen

Werk de bereiktoewijzing bij door de content/delete actie toe te voegen aan de nginx opslagplaats. Met deze actie kunt u afbeeldingen in de opslagplaats verwijderen of de hele opslagplaats verwijderen.

Omwille van de beknoptheid tonen we alleen de az acr scope-map update opdracht om de scope map bij te werken.

az acr scope-map update \
  --name MyScopeMap \
  --registry myregistry \
  --add-repository samples/nginx content/delete

Zie de vorige sectie om het bereikoverzicht bij te werken met behulp van de portal.

Gebruik de volgende opdracht az acr repository delete om de samples/nginx opslagplaats te verwijderen. Om afbeeldingen of opslagplaatsen te verwijderen, geeft u de naam en het wachtwoord van het token door aan de opdracht. In het volgende voorbeeld worden de omgevingsvariabelen gebruikt die eerder in het artikel zijn gemaakt:

az acr repository delete \
  --name myregistry --repository samples/nginx \
  --username $TOKEN_NAME --password $TOKEN_PWD

Repositoriotags weergeven

Werk de bereiktoewijzing bij door de metadata/read actie toe te voegen aan de hello-world opslagplaats. Met deze actie kunt u manifest- en taggegevens lezen in de opslagplaats.

Omwille van de beknoptheid tonen we alleen de az acr scope-map update opdracht om de scope map bij te werken.

az acr scope-map update \
  --name MyScopeMap \
  --registry myregistry \
  --add-repository samples/hello-world metadata/read 

Zie de vorige sectie om het bereikoverzicht bij te werken met behulp van de portal.

Als u metagegevens in de samples/hello-world opslagplaats wilt lezen, voert u de opdracht az acr manifest list-metadata of az acr repository show-tags uit.

Als u metagegevens wilt lezen, geeft u de naam en het wachtwoord van het token door aan een van beide opdrachten. In het volgende voorbeeld worden de omgevingsvariabelen gebruikt die eerder in het artikel zijn gemaakt:

az acr repository show-tags \
  --name myregistry --repository samples/hello-world \
  --username $TOKEN_NAME --password $TOKEN_PWD

Voorbeelduitvoer:

[
  "v1"
]

Tokens en bereiktoewijzingen beheren

Scopekaartenlijst

Gebruik de opdracht az acr scope-map list of de pagina Scope maps in de portal om alle scope maps die zijn geconfigureerd in een register weer te geven. Voorbeeld:

az acr scope-map list \
  --registry myregistry --output table

De uitvoer bestaat uit de drie door het systeem gedefinieerde bereiktoewijzingen en andere bereiktoewijzingen die door u worden gegenereerd. Tokens kunnen worden geconfigureerd met een van deze bereiktoewijzingen.

NAME                 TYPE           CREATION DATE         DESCRIPTION
-------------------  -------------  --------------------  ------------------------------------------------------------
_repositories_admin  SystemDefined  2020-01-20T09:44:24Z  Can perform all read, write and delete operations on the ...
_repositories_pull   SystemDefined  2020-01-20T09:44:24Z  Can pull any repository of the registry
_repositories_push   SystemDefined  2020-01-20T09:44:24Z  Can push to any repository of the registry
MyScopeMap           UserDefined    2019-11-15T21:17:34Z  Sample scope map

Tokendetails weergeven

Als u de details van een token wilt weergeven, zoals de status en vervaldatum van het wachtwoord, voert u de opdracht az acr token show uit of selecteert u het token in het scherm Tokens in de portal. Voorbeeld:

az acr scope-map show \
  --name MyScopeMap --registry myregistry

Gebruik de opdracht az acr token list of het scherm Tokens in de portal om alle tokens weer te geven die zijn geconfigureerd in een register. Voorbeeld:

az acr token list --registry myregistry --output table

Tokenwachtwoorden opnieuw genereren

Als u geen tokenwachtwoord hebt gegenereerd of als u nieuwe wachtwoorden wilt genereren, voert u de opdracht az acr token credential generate uit. Het opnieuw genereren van nieuwe wachtwoorden voor tokens duurt 60 seconden om te repliceren en beschikbaar te zijn.

In het volgende voorbeeld wordt een nieuwe waarde gegenereerd voor wachtwoord1 voor het MyToken-token , met een verloopperiode van 30 dagen. Het wachtwoord wordt opgeslagen in de omgevingsvariabele TOKEN_PWD. Dit voorbeeld is opgemaakt voor de bash-shell.

TOKEN_PWD=$(az acr token credential generate \
  --name MyToken --registry myregistry --expiration-in-days 30 \
  --password1 --query 'passwords[0].value' --output tsv)

Als u Azure Portal wilt gebruiken om een tokenwachtwoord te genereren, raadpleegt u de stappen in Het token maken - portal eerder in dit artikel.

Token bijwerken met nieuwe bereikkaart

Als u een token wilt bijwerken met een andere bereiktoewijzing, voert u az acr token update uit en geeft u de nieuwe bereiktoewijzing op. Voorbeeld:

az acr token update --name MyToken --registry myregistry \
  --scope-map MyNewScopeMap

Selecteer in de portal op het scherm Tokens het token en selecteer onder Bereiktoewijzing een andere bereiktoewijzing.

Aanbeveling

Nadat u een token hebt bijgewerkt met een nieuwe bereiktoewijzing, wilt u mogelijk nieuwe tokenwachtwoorden genereren. Gebruik de opdracht az acr token credential generate of genereer een tokenwachtwoord in Azure Portal.

Token uitschakelen of verwijderen

Mogelijk moet u het gebruik van de tokenreferenties voor een gebruiker of service tijdelijk uitschakelen.

Voer met behulp van de Azure CLI de opdracht az acr token update uit om status in te stellen op disabled:

az acr token update --name MyToken --registry myregistry \
  --status disabled

Selecteer in de portal het token in het scherm Tokens en selecteer Uitgeschakeld onder Status.

Om een token te verwijderen en de toegang permanent ongeldig te maken voor iedereen die de referenties gebruikt, voert u de opdracht az acr token delete uit.

az acr token delete --name MyToken --registry myregistry

Selecteer in de portal het token in het scherm Tokens en selecteer Verwijderen.

Volgende stappen

• Als u bereiktoewijzingen en tokens wilt beheren, gebruikt u aanvullende opdrachten in de opdrachtgroepen az acr scope-map en az acr token .
• Zie het verificatieoverzicht voor andere opties voor verificatie met een Azure-containerregister, waaronder het gebruik van een Microsoft Entra-identiteit, een service-principal of een beheerdersaccount.
• Meer informatie over verbonden registers en het gebruik van tokens voor toegang.