Zezwalaj zaufanym usługom na bezpieczny dostęp do rejestru kontenerów z ograniczeniami sieci

Usługa Azure Container Registry umożliwia wybieranie zaufanych usług platformy Azure w celu uzyskania dostępu do rejestru skonfigurowanego przy użyciu reguł dostępu do sieci. Gdy zaufane usługi są dozwolone, zaufane wystąpienie usługi może bezpiecznie pominąć reguły sieciowe rejestru i wykonywać operacje, takie jak ściąganie lub wypychanie obrazów. W tym artykule wyjaśniono, jak włączyć i używać zaufanych usług z rejestrem kontenerów platformy Azure z ograniczeniami sieci.

Użyj usługi Azure Cloud Shell lub lokalnej instalacji interfejsu wiersza polecenia platformy Azure, aby uruchomić przykłady poleceń w tym artykule. Jeśli chcesz używać go lokalnie, wymagana jest wersja 2.18 lub nowsza. Uruchom polecenie az --version, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.

Ograniczenia

• Niektóre scenariusze dostępu do rejestru z zaufanymi usługami wymagają tożsamości zarządzanej dla zasobów platformy Azure. Z wyjątkiem przypadków, w których zauważono, że tożsamość zarządzana przypisana przez użytkownika jest obsługiwana, może być używana tylko tożsamość przypisana przez system.
• Zezwolenie na zaufane usługi nie ma zastosowania do rejestru kontenerów skonfigurowanego przy użyciu punktu końcowego usługi. Ta funkcja ma wpływ tylko na rejestry, które są ograniczone z prywatnym punktem końcowym lub które mają zastosowane reguły dostępu publicznego adresu IP.

Informacje o zaufanych usługach

Usługa Azure Container Registry ma model zabezpieczeń warstwowych, obsługujący wiele konfiguracji sieci, które ograniczają dostęp do rejestru, w tym:

• Prywatny punkt końcowy z usługą Azure Private Link. Po skonfigurowaniu prywatny punkt końcowy rejestru jest dostępny tylko dla zasobów w sieci wirtualnej przy użyciu prywatnych adresów IP.
• Reguły zapory rejestru, które umożliwiają dostęp do publicznego punktu końcowego rejestru tylko z określonych publicznych adresów IP lub zakresów adresów. Zaporę można również skonfigurować tak, aby blokowała cały dostęp do publicznego punktu końcowego podczas korzystania z prywatnych punktów końcowych.

Po wdrożeniu w sieci wirtualnej lub skonfigurowaniu z regułami zapory rejestr odmawia dostępu do użytkowników lub usług spoza tych źródeł.

Kilka wielodostępnych usług platformy Azure działa z sieci, których nie można uwzględnić w tych ustawieniach sieci rejestru, uniemożliwiając wykonywanie operacji, takich jak ściąganie lub wypychanie obrazów do rejestru. Dzięki wyznaczeniu niektórych wystąpień usługi jako "zaufanych" właściciel rejestru może zezwolić na bezpieczne obejście ustawień sieciowych rejestru w celu wykonania operacji rejestru.

Zaufane usługi

Wystąpienia następujących usług mogą uzyskać dostęp do rejestru kontenerów z ograniczeniami sieci, jeśli ustawienie zezwala na zaufane usługi rejestru jest włączone (ustawienie domyślne). W czasie zostanie dodanych więcej usług.

W przypadku wskazania, dostęp przez zaufaną usługę wymaga dodatkowej konfiguracji tożsamości zarządzanej w wystąpieniu usługi, przypisania roli RBAC i uwierzytelnienia w rejestrze. Aby uzyskać przykładowe kroki, zobacz Przepływ pracy zaufanych usług w dalszej części tego artykułu.

Zaufana usługa	Obsługiwane scenariusze użycia	Konfigurowanie tożsamości zarządzanej przy użyciu roli RBAC
Azure Container Instances	Wdrażanie w usłudze Azure Container Instances z usługi Azure Container Registry przy użyciu tożsamości zarządzanej	Tak, tożsamość przypisana przez system lub przypisana przez użytkownika
Microsoft Defender for Cloud	Skanowanie luk w zabezpieczeniach przez usługę Microsoft Defender dla rejestrów kontenerów	Nie.
Zadania usługi ACR	Uzyskiwanie dostępu do rejestru nadrzędnego lub innego rejestru niż zadanie usługi ACR	Tak
Usługa Machine Learning	Wdrażanie lub trenowanie modelu w obszarze roboczym usługi Machine Learning przy użyciu niestandardowego obrazu kontenera platformy Docker	Tak
Azure Container Registry	Importowanie obrazów do lub z rejestru kontenerów platformy Azure z ograniczeniami sieci	Nie.

Uwaga

Obecnie włączenie ustawienia Zezwalaj na zaufane usługi nie ma zastosowania do usługi App Service.

Zezwalaj na zaufane usługi — interfejs wiersza polecenia

Domyślnie ustawienie Zezwalaj na zaufane usługi jest włączone w nowym rejestrze kontenerów platformy Azure. Wyłącz lub włącz ustawienie, uruchamiając polecenie az acr update .

Aby wyłączyć:

az acr update --name myregistry --allow-trusted-services false

Aby włączyć ustawienie w istniejącym rejestrze lub rejestrze, w którym jest już wyłączony:

az acr update --name myregistry --allow-trusted-services true

Zezwalaj na zaufane usługi — portal

Domyślnie ustawienie Zezwalaj na zaufane usługi jest włączone w nowym rejestrze kontenerów platformy Azure.

Aby wyłączyć lub ponownie włączyć ustawienie w portalu:

1. W portalu przejdź do rejestru kontenerów.
2. W obszarze Ustawienia wybierz pozycję Sieć.
3. W obszarze Zezwalaj na dostęp do sieci publicznej wybierz pozycję Wybrane sieci lub Wyłączone.
4. Wykonaj jedną z następujących czynności:
   • Aby wyłączyć dostęp przez zaufane usługi, w obszarze Wyjątek zapory usuń zaznaczenie pola wyboru Zezwalaj na zaufane usługi firmy Microsoft, aby uzyskać dostęp do tego rejestru kontenerów.
   • Aby zezwolić na zaufane usługi, w obszarze Wyjątek zapory zaznacz opcję Zezwalaj na dostęp do tego rejestru kontenerów za pomocą zaufanych usługi firmy Microsoft.
5. Wybierz pozycję Zapisz.

Przepływ pracy zaufanych usług

Oto typowy przepływ pracy umożliwiający wystąpienie zaufanej usługi uzyskiwanie dostępu do rejestru kontenerów z ograniczeniami sieci. Ten przepływ pracy jest wymagany, gdy tożsamość zarządzana wystąpienia usługi jest używana do pomijania reguł sieci rejestru.

1. Włącz tożsamość zarządzaną w wystąpieniu jednej z zaufanych usług dla usługi Azure Container Registry.
2. Przypisz tożsamość roli platformy Azure do rejestru. Na przykład przypisz rolę ACRPull, aby ściągnąć obrazy kontenerów.
3. W rejestrze z ograniczeniami sieci skonfiguruj ustawienie, aby zezwolić na dostęp przez zaufane usługi.
4. Użyj poświadczeń tożsamości, aby uwierzytelnić się w rejestrze z ograniczeniami sieci.
5. Ściąganie obrazów z rejestru lub wykonywanie innych operacji dozwolonych przez rolę.

Przykład: zadania usługi ACR

W poniższym przykładzie pokazano użycie usługi ACR Tasks jako zaufanej usługi. Zobacz Uwierzytelnianie między rejestrami w zadaniu usługi ACR przy użyciu tożsamości zarządzanej platformy Azure, aby uzyskać szczegółowe informacje o zadaniu.

1. Tworzenie lub aktualizowanie rejestru kontenerów platformy Azure. Utwórz zadanie usługi ACR.
   • Włącz tożsamość zarządzaną przypisaną przez system podczas tworzenia zadania.
   • Wyłącz domyślny tryb uwierzytelniania (--auth-mode None) zadania.
2. Przypisz tożsamość zadania roli platformy Azure, aby uzyskać dostęp do rejestru. Na przykład przypisz rolę AcrPush, która ma uprawnienia do ściągania i wypychania obrazów.
3. Dodaj poświadczenia tożsamości zarządzanej dla rejestru do zadania .
4. Aby potwierdzić, że zadanie pomija ograniczenia sieci, wyłącz dostęp publiczny w rejestrze.
5. Uruchom zadanie. Jeśli rejestr i zadanie są prawidłowo skonfigurowane, zadanie zostanie uruchomione pomyślnie, ponieważ rejestr zezwala na dostęp.

Aby przetestować wyłączenie dostępu przez zaufane usługi:

1. Wyłącz ustawienie, aby zezwolić na dostęp przez zaufane usługi.
2. Uruchom ponownie zadanie. W takim przypadku uruchomienie zadania kończy się niepowodzeniem, ponieważ rejestr nie zezwala już na dostęp przez zadanie.

Następne kroki

• Aby ograniczyć dostęp do rejestru przy użyciu prywatnego punktu końcowego w sieci wirtualnej, zobacz Konfigurowanie usługi Azure Private Link dla rejestru kontenerów platformy Azure.
• Aby skonfigurować reguły zapory rejestru, zobacz Konfigurowanie reguł sieci publicznych adresów IP.