Compartilhar via

Acesso de pull anônimo não autenticado

Por padrão, o acesso para efetuar pull ou enviar conteúdo por push de um registro de contêiner do Azure só está disponível para usuários autenticados. Habilitar o acesso de pull anônimo (não autenticado) disponibiliza todo o conteúdo do registro publicamente disponível para ações de leitura (pull). Utilize o acesso pull anônimo em cenários que não exigem autenticação do usuário, como na distribuição de imagens de contêineres públicas.

O acesso de pull anônimo é uma versão prévia do recurso, disponível nas camadas de serviço Standard e Premium. Para configurar o acesso de pull anônimo, atualize um registro usando a CLI do Azure (versão 2.21.0 ou posterior). Para obter informações sobre como instalar ou atualizar, consulte Instalar a CLI do Azure.

  • Habilite o acesso de pull anônimo atualizando as propriedades de um registro existente.
  • Depois de habilitar o acesso de pull anônimo, você pode desabilitar esse acesso a qualquer momento.
  • Somente as operações de plano de dados estão disponíveis para clientes não autenticados.
  • O registro pode limitar uma alta taxa de solicitações não autenticadas.
  • Se você tiver autenticado anteriormente no registro, certifique-se de desmarcar as credenciais antes de tentar uma operação de pull anônima.

Aviso

No momento, o acesso de pull anônimo se aplica a todos os repositórios no registro. Se você gerenciar o acesso ao repositório usando permissões de repositório não baseadas em token do Microsoft Entra ou permissões de repositório baseadas no Microsoft Entra, todos os usuários ainda poderão efetuar pull desses repositórios em um registro habilitado para pull anônimo não autenticado. Lembre-se disso ao habilitar o acesso de pull anônimo não autenticado.

Configurar o acesso de pull anônimo

Os usuários podem habilitar, desabilitar e consultar o status do acesso de pull anônimo usando a CLI do Azure. Os exemplos a seguir demonstram como habilitar, desabilitar e consultar o status do acesso de pull anônimo.

Habilitar o acesso de pull anônimo

Atualize um registro usando o comando az acr update e passe o parâmetro --anonymous-pull-enabled. Por padrão, o pull anônimo está desabilitado no registro.

az acr update --name myregistry --anonymous-pull-enabled

Importante

Se você tiver autenticado anteriormente o registro com as credenciais do Docker, execute docker logout para garantir que você desmarque as credenciais existentes antes de tentar realizar operações de pull anônimas. Caso contrário, você poderá ver uma mensagem de erro semelhante a “acesso de pull negado”. Lembre-se de sempre especificar o nome do registro totalmente qualificado (somente letras minúsculas) ao usar docker login e marcar imagens para enviar por push para o registro. Nos exemplos fornecidos, o nome totalmente qualificado é myregistry.azurecr.io.

Se você tiver autenticado anteriormente no registro com credenciais do Docker, execute o comando a seguir para limpar as credenciais existentes ou qualquer autenticação anterior.

   docker logout myregistry.azurecr.io

Essa etapa o ajuda a tentar uma operação de pull anônima. Se você encontrar problemas, poderá ver uma mensagem de erro semelhante a "acesso de pull negado".

Desabilitar o acesso de pull anônimo

Desabilite o acesso de pull anônimo definindo --anonymous-pull-enabled como false.

az acr update --name myregistry --anonymous-pull-enabled false

Consultar o status do acesso de pull anônimo

Você pode consultar o status de "pull anônimo" usando o comando az acr show com o parâmetro --query. Veja um exemplo:

az acr show -n <registry_name> --query anonymousPullEnabled

O comando retorna um valor booliano que indica se "Pull Anônimo" está habilitado (true) ou desabilitado (false). Esse comando simplifica o processo de verificação do status dos recursos no ACR.

Próximas etapas