Zezwalaj zaufanym usługom na bezpieczny dostęp do rejestru kontenerów z ograniczeniami sieci

Azure Container Registry może zezwalać na wybieranie zaufanych usług platformy Azure w celu uzyskania dostępu do rejestru skonfigurowanego przy użyciu reguł dostępu do sieci. Gdy zaufane usługi są dozwolone, zaufane wystąpienie usługi może bezpiecznie pominąć reguły sieciowe rejestru i wykonywać operacje, takie jak ściąganie lub wypychanie obrazów. W tym artykule opisano sposób włączania i używania zaufanych usług za pomocą rejestru kontenerów platformy Azure z ograniczeniami w sieci.

Użyj usługi Azure Cloud Shell lub lokalnej instalacji interfejsu wiersza polecenia platformy Azure, aby uruchomić przykłady poleceń w tym artykule. Jeśli chcesz używać go lokalnie, wymagana jest wersja 2.18 lub nowsza. Uruchom polecenie az --version, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.

Ograniczenia

• Niektóre scenariusze dostępu do rejestru z zaufanymi usługami wymagają tożsamości zarządzanej dla zasobów platformy Azure. Z wyjątkiem sytuacji, w których zauważono, że tożsamość zarządzana przypisana przez użytkownika jest obsługiwana, może być używana tylko tożsamość przypisana przez system.
• Zezwalanie na zaufane usługi nie ma zastosowania do rejestru kontenerów skonfigurowanego przy użyciu punktu końcowego usługi. Ta funkcja ma wpływ tylko na rejestry, które są ograniczone do prywatnego punktu końcowego lub które mają zastosowane reguły dostępu do publicznego adresu IP .

Informacje o zaufanych usługach

Azure Container Registry ma model zabezpieczeń warstwowych, obsługujący wiele konfiguracji sieci, które ograniczają dostęp do rejestru, w tym:

• Prywatny punkt końcowy z Azure Private Link. Po skonfigurowaniu prywatny punkt końcowy rejestru jest dostępny tylko dla zasobów w sieci wirtualnej przy użyciu prywatnych adresów IP.
• Reguły zapory rejestru, które umożliwiają dostęp do publicznego punktu końcowego rejestru tylko z określonych publicznych adresów IP lub zakresów adresów. Zaporę można również skonfigurować tak, aby blokowała cały dostęp do publicznego punktu końcowego podczas korzystania z prywatnych punktów końcowych.

Po wdrożeniu w sieci wirtualnej lub skonfigurowaniu z regułami zapory rejestr odmawia dostępu do użytkowników lub usług spoza tych źródeł.

Kilka wielodostępnych usług platformy Azure działa z sieci, których nie można uwzględnić w tych ustawieniach sieci rejestru, uniemożliwiając im wykonywanie operacji, takich jak ściąganie lub wypychanie obrazów do rejestru. Przez wyznaczenie niektórych wystąpień usługi jako "zaufanych", właściciel rejestru może zezwolić na wybranie zasobów platformy Azure w celu bezpiecznego obejścia ustawień sieci rejestru w celu wykonywania operacji rejestru.

Zaufane usługi

Wystąpienia następujących usług mogą uzyskiwać dostęp do rejestru kontenerów z ograniczeniami sieci, jeśli ustawienie zezwala na zaufane usługi rejestru jest włączone (ustawienie domyślne). Więcej usług zostanie dodanych w czasie.

Jeśli jest to wskazane, dostęp do zaufanej usługi wymaga dodatkowej konfiguracji tożsamości zarządzanej w wystąpieniu usługi, przypisania roli RBAC i uwierzytelnienia przy użyciu rejestru. Aby uzyskać przykładowe kroki, zobacz Przepływ pracy zaufanych usług w dalszej części tego artykułu.

Zaufana usługa	Obsługiwane scenariusze użycia	Konfigurowanie tożsamości zarządzanej przy użyciu roli RBAC
Azure Container Instances	Wdrażanie w Azure Container Instances z Azure Container Registry przy użyciu tożsamości zarządzanej	Tak, tożsamość przypisana przez system lub przypisana przez użytkownika
Microsoft Defender for Cloud	Skanowanie luk w zabezpieczeniach przez Microsoft Defender dla rejestrów kontenerów	Nie
Zadania usługi ACR	Uzyskiwanie dostępu do rejestru nadrzędnego lub innego rejestru niż zadanie usługi ACR	Tak
Usługa Machine Learning	Wdrażanie lub trenowanie modelu w obszarze roboczym usługi Machine Learning przy użyciu niestandardowego obrazu kontenera platformy Docker	Tak
Azure Container Registry	Importowanie obrazów do lub z rejestru kontenerów platformy Azure z ograniczeniami sieci	Nie

Uwaga

Ustawienie Zezwalaj na zaufane usługi nie ma zastosowania do App Service.

Zezwalaj na zaufane usługi — interfejs wiersza polecenia

Domyślnie ustawienie Zezwalaj na zaufane usługi jest włączone w nowym rejestrze kontenerów platformy Azure. Wyłącz lub włącz ustawienie, uruchamiając polecenie az acr update .

Aby wyłączyć:

az acr update --name myregistry --allow-trusted-services false

Aby włączyć ustawienie w istniejącym rejestrze lub rejestrze, w którym jest już wyłączona:

az acr update --name myregistry --allow-trusted-services true

Zezwalaj na zaufane usługi — portal

Domyślnie ustawienie Zezwalaj na zaufane usługi jest włączone w nowym rejestrze kontenerów platformy Azure.

Aby wyłączyć lub ponownie włączyć ustawienie w portalu:

1. W portalu przejdź do rejestru kontenerów.
2. W obszarze Ustawienia wybierz pozycję Sieć.
3. W obszarze Zezwalaj na dostęp do sieci publicznej wybierz pozycję Wybrane sieci lub Wyłączone.
4. Wykonaj jedną z następujących czynności:
   • Aby wyłączyć dostęp przez zaufane usługi, w obszarze Wyjątek zapory usuń zaznaczenie pola wyboru Zezwalaj zaufanym usługom firmy Microsoft na dostęp do tego rejestru kontenerów.
   • Aby zezwolić na zaufane usługi, w obszarze Wyjątek zapory zaznacz pole wyboru Zezwalaj zaufanym usługom firmy Microsoft na dostęp do tego rejestru kontenerów.
5. Wybierz pozycję Zapisz.

Przepływ pracy zaufanych usług

Oto typowy przepływ pracy umożliwiający wystąpienie zaufanej usługi uzyskiwanie dostępu do rejestru kontenerów z ograniczeniami sieci. Ten przepływ pracy jest wymagany, gdy tożsamość zarządzana wystąpienia usługi jest używana do obejścia reguł sieciowych rejestru.

1. Włącz tożsamość zarządzaną w wystąpieniu jednej z zaufanych usług dla Azure Container Registry.
2. Przypisz tożsamość roli platformy Azure do rejestru. Na przykład przypisz rolę ACRPull do ściągania obrazów kontenerów.
3. W rejestrze z ograniczeniami sieci skonfiguruj ustawienie, aby zezwolić na dostęp przez zaufane usługi.
4. Użyj poświadczeń tożsamości, aby uwierzytelnić się w rejestrze z ograniczeniami sieci.
5. Ściąganie obrazów z rejestru lub wykonywanie innych operacji dozwolonych przez rolę.

Przykład: zadania usługi ACR

W poniższym przykładzie pokazano użycie usługi ACR Tasks jako zaufanej usługi. Aby uzyskać szczegółowe informacje na temat zadania zarządzanego przez platformę Azure, zobacz Uwierzytelnianie między rejestrami w zadaniu usługi ACR przy użyciu tożsamości zarządzanej przez platformę Azure .

1. Tworzenie lub aktualizowanie rejestru kontenerów platformy Azure. Utwórz zadanie usługi ACR.
   • Włącz tożsamość zarządzaną przypisaną przez system podczas tworzenia zadania.
   • Wyłącz domyślny tryb uwierzytelniania (--auth-mode None) zadania.
2. Przypisz tożsamość zadania roli platformy Azure, aby uzyskać dostęp do rejestru. Na przykład przypisz rolę AcrPush, która ma uprawnienia do ściągania i wypychania obrazów.
3. Dodaj poświadczenia tożsamości zarządzanej dla rejestru do zadania.
4. Aby potwierdzić, że zadanie pomija ograniczenia sieci, wyłącz dostęp publiczny w rejestrze.
5. Uruchom zadanie. Jeśli rejestr i zadanie są prawidłowo skonfigurowane, zadanie zostanie uruchomione pomyślnie, ponieważ rejestr zezwala na dostęp.

Aby przetestować wyłączenie dostępu przez zaufane usługi:

1. Wyłącz ustawienie, aby zezwolić na dostęp przez zaufane usługi.
2. Uruchom ponownie zadanie. W takim przypadku uruchomienie zadania kończy się niepowodzeniem, ponieważ rejestr nie zezwala już na dostęp do zadania.

Następne kroki

• Aby ograniczyć dostęp do rejestru przy użyciu prywatnego punktu końcowego w sieci wirtualnej, zobacz Konfigurowanie Azure Private Link dla rejestru kontenerów platformy Azure.
• Aby skonfigurować reguły zapory rejestru, zobacz Konfigurowanie reguł sieci publicznych adresów IP.