Wyłączanie uwierzytelniania jako szablonu usługi ARM

  • Artykuł

Tokeny usługi Azure AD są używane podczas uwierzytelniania użytkowników rejestru za pomocą usługi ACR. Domyślnie usługa Azure Container Registry (ACR) akceptuje tokeny usługi Azure AD z zakresem odbiorców ustawionym dla usługi Azure Resource Manager (ARM), warstwy zarządzania płaszczyzną sterowania na potrzeby zarządzania zasobami platformy Azure.

Wyłączając tokeny odbiorców usługi ARM i wymuszając tokeny odbiorców usługi ACR, można zwiększyć bezpieczeństwo rejestrów kontenerów podczas procesu uwierzytelniania, zawężając zakres akceptowanych tokenów.

W przypadku wymuszania tokenu odbiorców usługi ACR tylko tokeny usługi Azure AD z zakresem odbiorców ustawionym specjalnie dla usługi ACR będą akceptowane podczas uwierzytelniania rejestru i procesu logowania. Oznacza to, że wcześniej zaakceptowane tokeny odbiorców usługi ARM nie będą już prawidłowe w przypadku uwierzytelniania rejestru, co zwiększa bezpieczeństwo rejestrów kontenerów.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Wyłącz uwierzytelnianie jako ramię w usłudze ACR — interfejs wiersza polecenia platformy Azure.
  • Wyłącz uwierzytelnianie jako ramię w usłudze ACR — Azure Portal.

Wymagania wstępne

Wyłączanie uwierzytelniania jako ramienia w usłudze ACR — interfejs wiersza polecenia platformy Azure

azureADAuthenticationAsArmPolicy Wyłączenie spowoduje wymusie użycie tokenu odbiorców usługi ACR w rejestrze. Aby znaleźć wersję, az --version możesz użyć interfejsu wiersza polecenia platformy Azure w wersji 2.40.0 lub nowszej.

  1. Uruchom polecenie , aby wyświetlić bieżącą konfigurację zasad rejestru na potrzeby uwierzytelniania przy użyciu tokenów usługi ARM z rejestrem. Jeśli stan to enabled, można użyć zarówno tokenów kontroli dostępu, jak i tokenów odbiorców usługi ARM do uwierzytelniania. Jeśli stan to disabled oznacza, że do uwierzytelniania mogą być używane tylko tokeny odbiorców usługi ACR.

    az acr config authentication-as-arm show -r <registry>

  2. Uruchom polecenie , aby zaktualizować stan zasad rejestru.

    az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]

Wyłączanie uwierzytelniania jako ramienia w usłudze ACR — Azure Portal

authentication-as-arm Wyłączenie właściwości przez przypisanie wbudowanych zasad spowoduje automatyczne wyłączenie właściwości rejestru dla bieżących i przyszłych rejestrów. To automatyczne zachowanie dotyczy rejestrów utworzonych w zakresie zasad. Możliwe zakresy zasad obejmują zakres na poziomie grupy zasobów lub zakres poziomu identyfikatora subskrypcji w dzierżawie.

Możesz wyłączyć uwierzytelnianie jako ramię w usłudze ACR, wykonując poniższe kroki:

  1. Zaloguj się w witrynie Azure Portal.

  2. Zapoznaj się z wbudowanymi definicjami zasad usługi ACR w definicji azure-container-registry-built-policy.

  3. Przypisz wbudowane zasady, aby wyłączyć definicję uwierzytelniania jako arm — Azure Portal.

Przypisz wbudowaną definicję zasad, aby wyłączyć uwierzytelnianie tokenu odbiorców usługi ARM — Azure Portal.

Zasady dostępu warunkowego rejestru można włączyć w witrynie Azure Portal.

Usługa Azure Container Registry ma dwie wbudowane definicje zasad, aby wyłączyć uwierzytelnianie jako ramię, jak pokazano poniżej:

  • Container registries should have ARM audience token authentication disabled. — Te zasady będą raportować, blokować wszelkie niezgodne zasoby, a także wysyłać żądanie aktualizacji niezgodnej ze zgodnością.

  • Configure container registries to disable ARM audience token authentication. — Te zasady oferują korygowanie i aktualizacje niezgodne ze zgodnymi zasobami.

    1. Zaloguj się w witrynie Azure Portal.

    2. Przejdź do grupy >zasobów usługi Azure Container Registry>Ustawienia> Zasady.

      Screenshot showing how to navigate Azure policies.

    3. Przejdź do usługi Azure Policy w obszarze Przypisania wybierz pozycję Przypisz zasady.

      Screenshot showing how to assign a policy.

    4. W obszarze Przypisz zasady użyj filtrów, aby wyszukać zakres, definicję zasad, nazwę przypisania.

      Screenshot of the assign policy tab.

    5. Wybierz pozycję Zakres , aby filtrować i wyszukiwać pozycje Subskrypcja i Grupa zasobów , a następnie wybierz pozycję Wybierz.

      Screenshot of the Scope tab.

    6. Wybierz pozycję Definicja zasad, aby filtrować i przeszukiwać wbudowane definicje zasad dla zasad dostępu warunkowego.

      Screenshot of built-in-policy-definitions.

    7. Użyj filtrów, aby wybrać i potwierdzić zakres, definicję zasad i nazwę przypisania.

    8. Użyj filtrów, aby ograniczyć stany zgodności lub wyszukać zasady.

    9. Potwierdź ustawienia i ustaw wymuszanie zasad zgodnie z włączeniem.

    10. Wybierz pozycję Przeglądanie+tworzenie.

      Screenshot to activate a Conditional Access policy.

Następne kroki

Tworzenie i konfigurowanie zasad dostępu warunkowego