Usługa Azure Container Registry: Omówienie uprawnień Entra i przypisań ról

Usługa Azure Container Registry (ACR) oferuje zestaw wbudowanych ról , które zapewniają zarządzanie uprawnieniami opartymi na usłudze Microsoft Entra w rejestrze usługi ACR. Za pomocą kontroli dostępu opartej na rolach (RBAC) platformy Azure można przypisać wbudowaną rolę do użytkowników, tożsamości zarządzanych lub jednostek usługi w celu udzielenia uprawnień opartych na usłudze Microsoft Entra zdefiniowanych w ramach tej roli. Możesz również definiować i przypisywać role niestandardowe z precyzyjnymi uprawnieniami dostosowanymi do konkretnych potrzeb, jeśli wbudowane role nie spełniają Twoich wymagań.

Obsługiwane typy tożsamości do przypisywania ról

Role usługi ACR można przypisać do następujących typów tożsamości w celu udzielenia uprawnień do rejestru:

• Tożsamość indywidualnego użytkownika
• Tożsamość zarządzana dla zasobów platformy Azure
  • Azure DevOps — tożsamość usługi Azure Pipelines
  • Tożsamość kubeletu węzła usługi Azure Kubernetes Service (AKS) w celu umożliwienia węzłowi AKS pobierania obrazów z ACR. Usługa ACR obsługuje przypisania ról zarówno dla tożsamości kubelet zarządzanej przez AKS, jak i wstępnie utworzonej tożsamości kubelet AKS dla węzłów AKS w celu pobierania obrazów z usługi ACR.
  • Tożsamość usługi Azure Container Apps (ACA)
  • Tożsamość usługi Azure Container Instances (ACI)
  • Tożsamość obszaru roboczego usługi Azure Machine Learning (AML)
  • Tożsamość kubeletu klastra Kubernetes dołączonego do usługi AML umożliwiająca węzłom klastra Kubernetes ściąganie obrazów z usługi ACR.
  • Tożsamość punktu końcowego online usługi AML
  • Tożsamość usługi Azure App Service
  • Tożsamość usługi Azure Web Apps
  • Tożsamość usługi Azure Batch
  • Tożsamość usługi Azure Functions
• Główna usługa
  • Jednostka usługi klastra AKS umożliwiająca węzłom usługi AKS ściąganie obrazów z usługi ACR. Usługa ACR obsługuje również uwierzytelnianie między dzierżawami dla węzłów AKS do ACR za pośrednictwem przypisania ról jednostki usługi między dzierżawami oraz uwierzytelniania.
  • Tożsamość usługi ACI
  • Hybrydowe lub lokalne klastry AKS w usłudze Azure Stack Hub przy użyciu jednostki usługi

Należy pamiętać, że połączony rejestr usługi ACR, lokalny rejestr usługi ACR, który różni się od usługi ACR opartej na chmurze, nie obsługuje przypisań ról platformy Azure i zarządzania uprawnieniami opartymi na usłudze Entra.

Nadawanie ról w celu przyznania uprawnień

Zobacz Kroki dodawania przypisania roli, aby uzyskać informacje o przypisaniu roli do tożsamości. Przypisania ról można wykonywać przy użyciu:

• Portal Azure
• Azure CLI
• Azure PowerShell

Aby wykonywać przypisania ról w rejestrze, musisz mieć rolę Owner lub rolę Role Based Access Control Administrator.

Określanie zakresu przypisań ról do określonych repozytoriów

Można użyć kontroli dostępu opartej na atrybutach (ABAC) w Microsoft Entra do zarządzania uprawnieniami repozytorium opartymi na Microsoft Entra. Ta funkcja umożliwia określanie zakresu przypisań ról do określonych repozytoriów w rejestrze.

Aby zapoznać się z omówieniem uprawnień repozytorium Microsoft Entra ABAC, w tym wbudowanych ról ACR, które obsługują warunki Microsoft Entra ABAC, zobacz Uprawnienia repozytorium oparte na Microsoft Entra. Alternatywnie możesz zapoznać się z dokumentacją katalogu ról usługi Azure Container Registry , aby uzyskać listę wbudowanych ról, które obsługują warunki abAC firmy Microsoft.

Zalecane role wbudowane na podstawie scenariusza

Zastosuj zasadę najniższych uprawnień, przypisując tylko uprawnienia niezbędne, aby tożsamość mogła wykonywać swoją zamierzoną funkcję. Te typowe scenariusze mają zalecaną wbudowaną rolę.

Uwaga / Notatka

Odpowiednie wbudowane role i ich zachowanie zależą od "trybu uprawnień przypisania roli" w rejestrze. Jest to widoczne w bloku "Właściwości" w witrynie Azure Portal:

• Uprawnienia do rejestru RBAC i repozytorium ABAC: obsługuje standardowe przypisania ról RBAC z opcjonalnymi warunkami ABAC firmy Microsoft, które ograniczają przypisania do określonych repozytoriów.
• Uprawnienia rejestru RBAC: Obsługuje tylko standardowe przypisania RBAC bez warunków ABAC.

Aby uzyskać szczegółowe informacje na temat ról ABAC w usłudze Microsoft Entra, zobacz Uprawnienia repozytorium oparte na usłudze Microsoft Entra.

Rejestry skonfigurowane z uprawnieniami "Rejestru RBAC + Repozytorium ABAC"

• Scenariusz: Tożsamości, które muszą pobierać obrazy i weryfikować artefakty łańcucha dostaw, takie jak deweloperzy, linie potokowe i orchestratory kontenerów (na przykład tożsamość węzła usługi Azure Kubernetes Service, usługa Azure Container Apps, wystąpienia kontenerów platformy Azure, obszary robocze usługi Azure Machine Learning)

  • Rola: Container Registry Repository Reader
  • Cel: udziela dostępu tylko do odczytu płaszczyzny danych do ściągania obrazów i artefaktów, wyświetlania tagów, repozytoriów, odwołań open container initiative (OCI) i konfiguracji przesyłania strumieniowego artefaktów. Nie obejmuje żadnych uprawnień do płaszczyzny sterowania ani zapisu. Nie udziela uprawnień do wyświetlania listy katalogów repozytoriów w celu wyświetlenia jakichkolwiek repozytoriów w rejestrze.
  • Obsługa ABAC: Ta rola obsługuje opcjonalne warunki ABAC firmy Microsoft Entra, aby określić zakres przypisań ról do konkretnych repozytoriów w rejestrze.

• Scenariusz: tożsamości, takie jak potoki CI/CD oraz deweloperzy, którzy tworzą i publikują obrazy, a także zarządzają znacznikami obrazów

  • Rola: Container Registry Repository Writer
  • Uprawnienia: udziela dostępu do warstwy danych do wypychania, pobierania i aktualizowania (ale nie usuwania) obrazów i artefaktów, odczytywania/zarządzania tagami, odczytywania/zarządzania odwołaniami OCI (referrers) i włączania (ale nie wyłączania) przesyłania strumieniowego artefaktów dla repozytoriów i obrazów. Nie obejmuje żadnych uprawnień płaszczyzny sterowania. Nie udziela uprawnień do wyświetlania listy katalogów repozytoriów w celu wyświetlenia jakichkolwiek repozytoriów w rejestrze.
  • Obsługa ABAC: Ta rola obsługuje opcjonalne warunki ABAC firmy Microsoft Entra, aby określić zakres przypisań ról do konkretnych repozytoriów w rejestrze.

• Scenariusz: tożsamości, które muszą usuwać obrazy, artefakty, tagi i odwołania OCI

  • Rola: Container Registry Repository Contributor
  • Uprawnienia: udziela uprawnień do odczytu, zapisu, aktualizowania i usuwania obrazów i artefaktów, odczytu/zarządzania/usuwania tagów, odczytu/zarządzania/usuwania odwołań OCI oraz włączania/wyłączania przesyłania strumieniowego artefaktów dla repozytoriów i obrazów. Nie obejmuje żadnych uprawnień płaszczyzny sterowania. Nie udziela uprawnień do wyświetlania listy katalogów repozytoriów w celu wyświetlenia jakichkolwiek repozytoriów w rejestrze.
  • Obsługa ABAC: Ta rola obsługuje opcjonalne warunki ABAC firmy Microsoft Entra, aby określić zakres przypisań ról do konkretnych repozytoriów w rejestrze.

• Scenariusz: tożsamości, które muszą wyświetlić listę wszystkich repozytoriów w rejestrze

  • Rola: Container Registry Repository Catalog Lister
  • Uprawnienia: udziela dostępu do warstwy danych w celu wyświetlenia listy wszystkich repozytoriów w rejestrze, w tym za pośrednictwem punktów końcowych interfejsu rejestru API {loginServerURL}/acr/v1/_catalog lub {loginServerURL}/v2/_catalog. Nie zawiera żadnych uprawnień do płaszczyzny sterowania ani uprawnień do wypychania/ściągania obrazów.
  • Obsługa abAC: ta rola nie obsługuje warunków abAC firmy Microsoft. W związku z tym to przypisanie roli przyzna uprawnienia do wyświetlania listy wszystkich repozytoriów w rejestrze.

• Scenariusz: potoki, tożsamości i deweloperzy podpisujący obrazy

  • W przypadku podpisywania obrazów przy użyciu odwołań OCI, takich jak Notary Project:
    • Rola: Container Registry Repository Writer
    • Uprawnienia: Udziela dostępu do warstwy danych w celu wysyłania podpisów w formie referencji OCI załączonych do obrazów i artefaktów. Nie obejmuje żadnych uprawnień płaszczyzny sterowania.
    • Obsługa ABAC: Ta rola obsługuje opcjonalne warunki ABAC firmy Microsoft Entra, aby określić zakres przypisań ról do konkretnych repozytoriów w rejestrze.
  • Do podpisywania obrazów za pomocą platformy Docker Content Trust (DCT):
    • Podpisywanie obrazów przy użyciu kontrolera DCT dla rejestrów z włączoną funkcją ABAC nie jest obsługiwane.

• Scenariusz: Potoki, tożsamości i deweloperzy, którzy muszą tworzyć, aktualizować lub usuwać rejestry ACR

  • Rola: Container Registry Contributor and Data Access Configuration Administrator
  • Uprawnienia:
    • Udziela dostępu do płaszczyzny kontroli w celu tworzenia, konfigurowania i usuwania rejestrów oraz zarządzania nimi, w tym:
      • konfigurowanie rejestru SKU
      • ustawienia dostępu dla uwierzytelniania (poświadczenia logowania użytkownika administratora, anonimowe ściąganie, uprawnienia repozytorium oparte na tokenach nie-Microsoft Entra i odbiorcy tokenów Microsoft Entra Authentication-as-Arm)
      • funkcje wysokiej dostępności (replikacje geograficzne, strefy dostępności i nadmiarowość stref),
      • funkcje lokalne (połączone rejestry),
      • punkty końcowe rejestru (dedykowane punkty końcowe danych)
      • dostęp do sieci (ustawienia łącza prywatnego i prywatnego punktu końcowego, dostęp do sieci publicznej, obejście zaufanych usług, reguły zapory sieciowej i punkty końcowe usługi sieci wirtualnej)
      • zasady rejestru (zasady przechowywania, włączanie kwarantanny dla całego rejestru, włączanie usuwania nietrwałego i eksportowanie danych)
      • ustawienia diagnostyczne i monitorowania (ustawienia diagnostyczne, dzienniki, metryki, webhooki dla rejestrów i replikacji geograficznej oraz Event Grid)
      • zarządzanie tożsamością zarządzaną przypisaną przez system rejestru
    • Uwaga: ta rola przyznaje uprawnienia do usuwania samego rejestru.
    • Uwaga: ta rola nie obejmuje operacji płaszczyzny danych (na przykład wypychania/ściągania obrazu), możliwości przypisywania ról ani zadania usługi ACR.
    • Uwaga: aby zarządzać tożsamością zarządzaną przypisaną przez użytkownika rejestru, osoba przypisana musi również mieć Managed Identity Operator rolę.
  • Obsługa ABAC: Ta rola nie obsługuje warunków ABAC firmy Microsoft, ponieważ jest ukierunkowana na poziom rejestru, zapewniając uprawnienia do zarządzania ustawieniami i konfiguracjami dla całej płaszczyzny kontrolnej rejestru.

• Scenariusz: Potoki, inżynierowie infrastruktury lub narzędzia do obserwacji/monitorowania płaszczyzny sterowania, które muszą wyświetlać rejestry i wyświetlać konfiguracje rejestru, ale nie mają dostępu do obrazów rejestru

  • Rola: Container Registry Configuration Reader and Data Access Configuration Reader
  • Uprawnienia: odpowiednik roli o uprawnieniach tylko do Container Registry Contributor and Data Access Configuration Administrator odczytu. Udziela dostępu do płaszczyzny kontroli w celu wyświetlania i wyświetlania rejestrów listy oraz inspekcji konfiguracji rejestru, ale nie modyfikuje ich. Nie obejmuje operacji płaszczyzny danych (na przykład wypychania/ściągania obrazu) ani możliwości przypisywania ról.
  • Obsługa ABAC: Ta rola nie wspiera warunków ABAC w Microsoft Entra, ponieważ rola jest ograniczona do poziomu rejestru, zapewniając uprawnienia do odczytu ustawień i konfiguracji dowolnej płaszczyzny sterowania dla całego rejestru.

• Scenariusz: Skanery luk w zabezpieczeniach i narzędzia, które wymagają inspekcji rejestrów i konfiguracji rejestru, a także dostęp do obrazów rejestru w celu skanowania ich pod kątem luk w zabezpieczeniach

  • Role: Container Registry Repository Reader, Container Registry Repository Catalog Listeri Container Registry Configuration Reader and Data Access Configuration Reader
  • Uprawnienia: Udziela dostępu do płaszczyzny kontrolnej do wyświetlania i listowania rejestrów ACR oraz audytowania konfiguracji rejestru w celu audytu i zgodności. Ponadto przyznaje uprawnienia do ściągania obrazów, artefaktów i wyświetlania tagów w celu skanowania i analizowania obrazów pod kątem luk w zabezpieczeniach.
  • Obsługa ABAC: ACR zaleca, aby skanery luk w zabezpieczeniach oraz monitory miały pełny dostęp do warstwy danych we wszystkich repozytoriach w rejestrze. W związku z tym te role powinny być przyznawane bez zastosowania warunków ABAC Microsoft Entra, aby zapewnić uprawnienia roli bez ograniczania ich do określonych repozytoriów.

• Scenariusz: Potoki i tożsamości, które organizują zadania ACR

  • Rola: Container Registry Tasks Contributor
  • Uprawnienia: Zarządzanie zadaniami usługi ACR, w tym definicjami zadań i przebiegami zadań, pulami agentów zadań, szybkimi kompilacjami przy użyciu az acr build oraz szybkimi przebiegami przy użyciu az acr run, a także dziennikami zadań. Nie obejmuje uprawnień dotyczących płaszczyzny danych ani bardziej rozbudowanej konfiguracji rejestru.
  • Uwaga: aby w pełni zarządzać tożsamościami zadań, osoba przypisana musi mieć rolę Managed Identity Operator.
  • Obsługa ABAC: Ta rola nie obsługuje warunków ABAC firmy Microsoft, ponieważ jej zakres jest ograniczony do poziomu rejestru, co nadaje uprawnienia do zarządzania wszystkimi zadaniami ACR w rejestrze.

• Scenariusz: tożsamości, takie jak potoki i deweloperzy , którzy importuje obrazy za pomocą polecenia az acr import

  • Rola: Container Registry Data Importer and Data Reader
  • Uprawnienia: udziela dostępu płaszczyzny kontroli w celu wyzwalania importu obrazów przy użyciu az acr importprogramu i dostępu do płaszczyzny danych w celu zweryfikowania powodzenia importowania (ściąganie zaimportowanych obrazów i artefaktów, wyświetlanie zawartości repozytorium, wyświetlanie odwołań OCI i inspekcja zaimportowanych tagów). Nie zezwala na przesyłanie ani modyfikowanie żadnej zawartości w rejestrze.
  • Obsługa ABAC: ta rola nie obsługuje warunków Microsoft Entra ABAC, ponieważ rola jest ograniczona na poziomie rejestru, co daje uprawnienia do importowania obrazów do dowolnego repozytorium znajdującego się w rejestrze. Przyznaje również uprawnienia do odczytu obrazów we wszystkich repozytoriach w rejestrze.

• Scenariusz: tożsamości, takie jak potoki i deweloperzy, którzy zarządzają potokami transferu usługi ACR na potrzeby przesyłania artefaktów między rejestrami przy użyciu pośrednich kont magazynu między siecią, dzierżawą lub granicami luk w powietrzu

  • Rola: Container Registry Transfer Pipeline Contributor
  • Uprawnienia: udziela dostępu do płaszczyzny kontroli w celu zarządzania potokami transferowymi importu/eksportu ACR za pomocą pośrednich kont magazynu. Nie obejmuje uprawnień warstwy danych, rozszerzonego dostępu do rejestru ani uprawnień do zarządzania innymi typami zasobów w platformie Azure, takimi jak konta przechowywania lub skarbce kluczy.
  • Obsługa ABAC: ta rola nie obsługuje warunków Microsoft Entra ABAC, ponieważ rola jest ograniczona do poziomu rejestru, udzielając uprawnień do zarządzania wszystkimi potokami transferu ACR w rejestrze.

• Scenariusz: Zarządzanie obrazami poddanymi kwarantannie

  • Role: AcrQuarantineReader i AcrQuarantineWriter
  • Uprawnienia: Zarządzanie obrazami poddanymi kwarantannie w rejestrze, w tym wyświetlanie i ściąganie obrazów poddanej kwarantannie w celu dalszej inspekcji oraz modyfikowanie stanu kwarantanny obrazów. Obrazy poddane kwarantannie to te, których nie można pobrać ani używać, dopóki nie zostaną zwolnione z kwarantanny.
  • Obsługa ABAC: rola ta nie obsługuje warunków ABAC firmy Microsoft, ponieważ jest ograniczona do poziomu rejestru, udzielając uprawnień do zarządzania wszystkimi obrazami poddanymi kwarantannie w rejestrze.

• Scenariusz: Deweloperzy lub procesy, które konfigurują automatyczne przeczyszczanie rejestru w usłudze ACR Tasks

  • Rola: Container Registry Tasks Contributor
  • Uprawnienia: przyznaje uprawnienia płaszczyzny sterowania do zarządzania automatycznym przeczyszczaniem, które jest uruchamiane w usłudze ACR Tasks.
  • Obsługa ABAC: Ta rola nie obsługuje warunków ABAC firmy Microsoft, ponieważ jej zakres jest ograniczony do poziomu rejestru, co nadaje uprawnienia do zarządzania wszystkimi zadaniami ACR w rejestrze.

• Scenariusz: użytkownicy rozszerzeń platformy Docker programu Visual Studio Code

  • Role: Container Registry Repository Writer, Container Registry Tasks Contributori Container Registry Contributor and Data Access Configuration Administrator
  • Uprawnienia: Przyznaje możliwości przeglądania rejestrów, ściągania i wypychania obrazów oraz kompilowania obrazów przy użyciu programu az acr build, obsługującego typowe przepływy pracy deweloperów w programie Visual Studio Code.
  • Obsługa ABAC: ACR zaleca, aby użytkownicy Visual Studio Code mieli pełny dostęp do wszystkich repozytoriów w rejestrze. W związku z tym te role powinny być przyznawane bez zastosowania warunków ABAC Microsoft Entra, aby zapewnić uprawnienia roli bez ograniczania ich do określonych repozytoriów.

Rejestry skonfigurowane z uprawnieniami rejestru RBAC

• Scenariusz: Tożsamości, które muszą pobierać obrazy i weryfikować artefakty łańcucha dostaw, takie jak deweloperzy, linie potokowe i orchestratory kontenerów (na przykład tożsamość węzła usługi Azure Kubernetes Service, usługa Azure Container Apps, wystąpienia kontenerów platformy Azure, obszary robocze usługi Azure Machine Learning)

  • Rola: AcrPull
  • Cel: udziela dostępu tylko do odczytu płaszczyzny danych do ściągania obrazów i artefaktów, wyświetlania tagów, repozytoriów, odwołań open container initiative (OCI) i konfiguracji przesyłania strumieniowego artefaktów. Nie obejmuje żadnych uprawnień do płaszczyzny sterowania ani zapisu.

• Scenariusz: tożsamości, takie jak potoki CI/CD oraz deweloperzy, którzy tworzą i publikują obrazy, a także zarządzają znacznikami obrazów

  • Rola: AcrPush
  • Uprawnienia: Zapewniają dostęp do płaszczyzny danych do wypychania i pobierania obrazów i artefaktów, zarządzania tagami, pracy z odniesieniami OCI oraz konfigurowania przesyłania strumieniowego artefaktów dla repozytoriów i obrazów. Nie obejmuje żadnych uprawnień płaszczyzny sterowania.

• Scenariusz: potoki, tożsamości i deweloperzy podpisujący obrazy

  • W przypadku podpisywania obrazów przy użyciu odwołań OCI, takich jak Notary Project:
    • Rola: AcrPush
    • Uprawnienia: Udziela dostępu do warstwy danych w celu wysyłania podpisów w formie referencji OCI załączonych do obrazów i artefaktów. Nie obejmuje żadnych uprawnień płaszczyzny sterowania.
  • Do podpisywania obrazów za pomocą platformy Docker Content Trust (DCT):
    • Rola: AcrImageSigner
    • Uprawnienia: Podpisuj obrazy w rejestrze za pomocą Docker Content Trust (DCT).
    • Uwaga: Zaufanie zawartości platformy Docker jest przestarzałe.

• Scenariusz: Potoki, tożsamości i deweloperzy, którzy muszą tworzyć, aktualizować lub usuwać rejestry ACR

  • Rola: Container Registry Contributor and Data Access Configuration Administrator
  • Uprawnienia:
    • Udziela dostępu do płaszczyzny kontroli w celu tworzenia, konfigurowania i usuwania rejestrów oraz zarządzania nimi, w tym:
      • konfigurowanie rejestru SKU
      • ustawienia dostępu dla uwierzytelniania (poświadczenia logowania użytkownika administratora, anonimowe ściąganie, uprawnienia repozytorium oparte na tokenach nie-Microsoft Entra i odbiorcy tokenów Microsoft Entra Authentication-as-Arm)
      • funkcje wysokiej dostępności (replikacje geograficzne, strefy dostępności i nadmiarowość stref),
      • funkcje lokalne (połączone rejestry),
      • punkty końcowe rejestru (dedykowane punkty końcowe danych)
      • dostęp do sieci (ustawienia łącza prywatnego i prywatnego punktu końcowego, dostęp do sieci publicznej, obejście zaufanych usług, reguły zapory sieciowej i punkty końcowe usługi sieci wirtualnej)
      • zasady rejestru (zasady przechowywania, włączanie kwarantanny dla całego rejestru, włączanie usuwania nietrwałego i eksportowanie danych)
      • ustawienia diagnostyczne i monitorowania (ustawienia diagnostyczne, dzienniki, metryki, webhooki dla rejestrów i replikacji geograficznej oraz Event Grid)
      • zarządzanie tożsamością zarządzaną przypisaną przez system rejestru
    • Uwaga: ta rola przyznaje uprawnienia do usuwania samego rejestru.
    • Uwaga: ta rola nie obejmuje operacji płaszczyzny danych (na przykład wypychania/ściągania obrazu), możliwości przypisywania ról ani zadania usługi ACR.
    • Uwaga: aby zarządzać tożsamością zarządzaną przypisaną przez użytkownika rejestru, osoba przypisana musi również mieć Managed Identity Operator rolę.

• Scenariusz: Potoki, inżynierowie infrastruktury lub narzędzia do obserwacji/monitorowania płaszczyzny sterowania, które muszą wyświetlać rejestry i wyświetlać konfiguracje rejestru, ale nie mają dostępu do obrazów rejestru

  • Rola: Container Registry Configuration Reader and Data Access Configuration Reader
  • Uprawnienia: odpowiednik roli o uprawnieniach tylko do Container Registry Contributor and Data Access Configuration Administrator odczytu. Udziela dostępu do płaszczyzny kontroli w celu wyświetlania i wyświetlania rejestrów listy oraz inspekcji konfiguracji rejestru, ale nie modyfikuje ich. Nie obejmuje operacji płaszczyzny danych (na przykład wypychania/ściągania obrazu) ani możliwości przypisywania ról.

• Scenariusz: Skanery luk w zabezpieczeniach i narzędzia, które wymagają inspekcji rejestrów i konfiguracji rejestru, a także dostęp do obrazów rejestru w celu skanowania ich pod kątem luk w zabezpieczeniach

  • Role: AcrPull i Container Registry Configuration Reader and Data Access Configuration Reader
  • Uprawnienia: Udziela dostępu do płaszczyzny kontrolnej do wyświetlania i listowania rejestrów ACR oraz audytowania konfiguracji rejestru w celu audytu i zgodności. Ponadto przyznaje uprawnienia do ściągania obrazów, artefaktów i wyświetlania tagów w celu skanowania i analizowania obrazów pod kątem luk w zabezpieczeniach.

• Scenariusz: Potoki i tożsamości, które organizują zadania ACR

  • Rola: Container Registry Tasks Contributor
  • Uprawnienia: Zarządzanie zadaniami usługi ACR, w tym definicjami zadań i przebiegami zadań, pulami agentów zadań, szybkimi kompilacjami przy użyciu az acr build oraz szybkimi przebiegami przy użyciu az acr run, a także dziennikami zadań. Nie obejmuje uprawnień dotyczących płaszczyzny danych ani bardziej rozbudowanej konfiguracji rejestru.
  • Uwaga: aby w pełni zarządzać tożsamościami zadań, osoba przypisana musi mieć rolę Managed Identity Operator.

• Scenariusz: tożsamości, takie jak potoki i deweloperzy , którzy importuje obrazy za pomocą polecenia az acr import

  • Rola: Container Registry Data Importer and Data Reader
  • Uprawnienia: udziela dostępu płaszczyzny kontroli w celu wyzwalania importu obrazów przy użyciu az acr importprogramu i dostępu do płaszczyzny danych w celu zweryfikowania powodzenia importowania (ściąganie zaimportowanych obrazów i artefaktów, wyświetlanie zawartości repozytorium, wyświetlanie odwołań OCI i inspekcja zaimportowanych tagów). Nie zezwala na przesyłanie ani modyfikowanie żadnej zawartości w rejestrze.

• Scenariusz: tożsamości, takie jak potoki i deweloperzy, którzy zarządzają potokami transferu usługi ACR na potrzeby przesyłania artefaktów między rejestrami przy użyciu pośrednich kont magazynu między siecią, dzierżawą lub granicami luk w powietrzu

  • Rola: Container Registry Transfer Pipeline Contributor
  • Uprawnienia: udziela dostępu do płaszczyzny kontroli w celu zarządzania potokami transferowymi importu/eksportu ACR za pomocą pośrednich kont magazynu. Nie obejmuje uprawnień warstwy danych, rozszerzonego dostępu do rejestru ani uprawnień do zarządzania innymi typami zasobów w platformie Azure, takimi jak konta przechowywania lub skarbce kluczy.

• Scenariusz: Zarządzanie obrazami poddanymi kwarantannie

  • Role: AcrQuarantineReader i AcrQuarantineWriter
  • Uprawnienia: Zarządzanie obrazami poddanymi kwarantannie w rejestrze, w tym wyświetlanie i ściąganie obrazów poddanej kwarantannie w celu dalszej inspekcji oraz modyfikowanie stanu kwarantanny obrazów. Obrazy poddane kwarantannie to te, których nie można pobrać ani używać, dopóki nie zostaną zwolnione z kwarantanny.

• Scenariusz: usuwanie obrazów, artefaktów, tagów i odwołań OCI

  • Rola: AcrDelete
  • Uprawnienia: zapewnia uprawnienia do usuwania artefaktów i tagów we wszystkich repozytoriach w rejestrze. Ta rola nie udziela uprawnień do usuwania samego rejestru.

• Scenariusz: Deweloperzy lub procesy, które konfigurują automatyczne przeczyszczanie rejestru w usłudze ACR Tasks

  • Rola: Container Registry Tasks Contributor
  • Uprawnienia: przyznaje uprawnienia płaszczyzny sterowania do zarządzania automatycznym przeczyszczaniem, które jest uruchamiane w usłudze ACR Tasks.

• Scenariusz: użytkownicy rozszerzeń platformy Docker programu Visual Studio Code

  • Role: AcrPush, Container Registry Tasks Contributori Container Registry Contributor and Data Access Configuration Administrator
  • Uprawnienia: Przyznaje możliwości przeglądania rejestrów, ściągania i wypychania obrazów oraz kompilowania obrazów przy użyciu programu az acr build, obsługującego typowe przepływy pracy deweloperów w programie Visual Studio Code.

Dalsze kroki

• Aby wykonać przypisania ról z opcjonalnymi warunkami ABAC Microsoft Entra w celu ograniczenia zakresu przypisań ról do określonych repozytoriów, zobacz Uprawnienia repozytorium oparte na usłudze Microsoft Entra.
• Aby uzyskać szczegółowe informacje o każdej wbudowanej roli usługi ACR, w tym o uprawnieniach przyznanych przez każdą rolę, zobacz dokumentację katalogu ról usługi Azure Container Registry.
• Aby uzyskać więcej informacji na temat tworzenia ról niestandardowych spełniających określone potrzeby i wymagania, zobacz Role niestandardowe usługi Azure Container Registry.