Visão geral das permissões e atribuições de função do Registro de Contêiner do Azure Entra

O ACR (Registro de Contêiner do Azure) oferece um conjunto de funções internas que fornecem gerenciamento de permissões baseado no Microsoft Entra para um registro do ACR. Usando o RBAC (controle de acesso baseado em função) do Azure, você pode atribuir uma função interna a usuários, identidades gerenciadas ou entidades de serviço para conceder permissões baseadas no Microsoft Entra definidas dentro da função. Você também pode definir e atribuir funções personalizadas com permissões refinadas adaptadas às suas necessidades específicas se as funções internas não atenderem às suas necessidades.

Tipos de identidade de atribuição de função com suporte

As funções ACR podem ser atribuídas aos seguintes tipos de identidade para conceder permissões a um registro:

• Identidade de usuário individual
• Identidade gerenciada para recursos do Azure
  • Azure DevOps – Identidade do Azure Pipelines
  • A identidade do kubelet do nó do AKS (Serviço de Kubernetes do Azure) para habilitar o nó do AKS para efetuar pull de imagens do ACR. O ACR dá suporte a atribuições de função para identidade do kubelet gerenciada pelo AKS e identidade do kubelet pré-criada pelo AKS nos nós do AKS para efetuar pull de imagens do ACR.
  • Identidade dos Aplicativos de Contêiner do Azure (ACA)
  • Identidade de ACI (Instâncias de Contêiner do Azure)
  • Identidade do workspace do AML (Azure Machine Learning)
  • Identidade do kubelet do nó do cluster do Kubernetes conectada ao AML para permitir que os nós do cluster do Kubernetes efetuem pull de imagens do ACR.
  • Identidade do ponto de extremidade online do AML
  • Identidade do Serviço de Aplicativo do Azure
  • Identidade dos Aplicativos Web do Azure
  • Identidade do Azure Batch
  • Identidade do Azure Functions
• Entidade de serviço
  • Entidade de serviço de cluster do AKS para habilitar nós do AKS para efetuar pull de imagens do ACR. O ACR também dá suporte ao nó do AKS entre locatários para autenticação do ACR por meio de autenticação e atribuições de função de entidade de serviço entre locatários.
  • Entidade de serviço de ACI
  • Clusters do AKS híbridos ou no local no Azure Stack Hub usando entidade de serviço

Observe que o Registro conectado ao ACR, a oferta de registro local do ACR que difere do ACR baseado em nuvem, não dá suporte a atribuições de função do Azure e ao gerenciamento de permissões baseadas em Entra.

Executar atribuições de função para conceder permissões

Consulte Etapas para adicionar uma atribuição de função para obter informações sobre como atribuir uma função a uma identidade. As atribuições de função podem ser feitas usando:

• Portal do Azure
• Azure CLI
• Azure PowerShell

Para executar atribuições de função, você deve ter a função Owner ou a função Role Based Access Control Administrator no registro.

Delimitação de atribuições de função para repositórios específicos

Você pode usar o ABAC (controle de acesso baseado em atributos) do Microsoft Entra para gerenciar permissões de repositório baseadas no Microsoft Entra. Esse recurso permite que você escopo atribuições de função a repositórios específicos em um registro.

Para obter uma visão geral das permissões do repositório ABAC do Microsoft Entra, incluindo as funções integradas do ACR que dão suporte às condições ABAC do Microsoft Entra, consulte Permissões de repositório baseadas no Microsoft Entra. Como alternativa, você pode consultar a referência de diretório de funções do Registro de Contêiner do Azure para obter uma lista de funções internas que dão suporte a condições do ABAC do Microsoft Entra.

Funções incorporadas recomendadas por cenário

Aplique o princípio de privilégio mínimo atribuindo apenas as permissões necessárias para que uma identidade execute sua função pretendida. Cada um desses cenários comuns tem uma função interna recomendada.

Observação

As funções internas aplicáveis e o comportamento da função dependem do "modo de permissões de atribuição de função" do registro. Isso é visível na folha "Propriedades" no portal do Azure:

• Permissões do Repositório do RBAC + ABAC: dá suporte a atribuições de função RBAC padrão com condições do ABAC opcionais do Microsoft Entra para atribuições de escopo para repositórios específicos.
• Permissões de Registro do RBAC: dá suporte apenas a atribuições padrão de RBAC sem condições do ABAC.

Para obter detalhes sobre o ABAC do Microsoft Entra e as funções habilitadas para ABAC, consulte permissões de repositório baseadas no Microsoft Entra.

Registros configurados com "Registro RBAC + Permissões de Repositório ABAC"

• Cenário: identidades que precisam efetuar pull de imagens e validar artefatos da cadeia de fornecedores, como desenvolvedores, pipelines e orquestradores de contêineres (por exemplo, identidade do kubelet do nó do Serviço de Kubernetes do Azure, Aplicativos de Contêiner do Azure, Instâncias de Contêiner do Azure, workspaces do Azure Machine Learning)

  • Função: Container Registry Repository Reader
  • Finalidade: concede acesso somente leitura do plano de dados para efetuar pull de imagens e artefatos, visualizar marcas, repositórios, referenciadores da Open Container Initiative (OCI) e configurações de transmissão de artefatos. Não inclui nenhuma permissão do painel de controle ou de gravação. Não concede permissões de lista de catálogos de repositório para listar repositórios no registro.
  • Suporte ao ABAC: essa função dá suporte a condições opcionais ABAC do Microsoft Entra para definir atribuições de função para repositórios específicos no registro.

• Cenário: identidades como pipelines de build de CI/CD e desenvolvedores que criam e enviam imagens por push, bem como gerenciam marcas de imagem

  • Função: Container Registry Repository Writer
  • Permissões: concede acesso ao plano de dados para enviar por push, e efetuar pull e atualizar (mas não excluir) imagens e artefatos, marcas de leitura/gerenciamento, referenciadores OCI de leitura/gerenciamento e habilitar (mas não desabilitar) o streaming de artefatos para repositórios e imagens. Não inclui nenhuma permissão do painel de controle. Não concede permissões de lista de catálogos de repositório para listar repositórios no registro.
  • Suporte ao ABAC: essa função dá suporte a condições opcionais ABAC do Microsoft Entra para definir atribuições de função para repositórios específicos no registro.

• Cenário: identidades que precisam excluir imagens, artefatos, marcas e referenciadores OCI

  • Função: Container Registry Repository Contributor
  • Permissões: concede permissões para ler, gravar, atualizar e excluir imagens e artefatos, ler/gerenciar/excluir tags, ler/gerenciar/excluir referenciadores OCI e habilitar/desabilitar o streaming de artefatos para repositórios e imagens. Não inclui nenhuma permissão do painel de controle. Não concede permissões de lista de catálogos de repositório para listar repositórios no registro.
  • Suporte ao ABAC: essa função dá suporte a condições opcionais ABAC do Microsoft Entra para definir atribuições de função para repositórios específicos no registro.

• Cenário: identidades que precisam listar todos os repositórios no registro

  • Função: Container Registry Repository Catalog Lister
  • Permissões: concede acesso ao plano de dados para listar todos os repositórios no registro, inclusive por meio dos pontos de extremidade da API de registro{loginServerURL}/acr/v1/_catalog ou {loginServerURL}/v2/_catalog. Não inclui permissões ou permissões do painel de controle para efetuar push/pull de imagens.
  • Suporte ao ABAC: essa função não oferece suporte para condições ABAC do Microsoft Entra. Dessa forma, essa atribuição de função concederá permissões para listar todos os repositórios no registro.

• Cenário: pipelines, identidades e desenvolvedores que assinam imagens

  • Para assinar imagens com referenciadores da OCI, como o Notary Project:
    • Função: Container Registry Repository Writer
    • Permissões: concede acesso ao plano de dados para enviar assinaturas por push na forma de referenciadores da OCI anexados a imagens e artefatos. Não inclui nenhuma permissão do painel de controle.
    • Suporte ao ABAC: essa função dá suporte a condições opcionais ABAC do Microsoft Entra para definir atribuições de função para repositórios específicos no registro.
  • Para assinar imagens com Docker Content Trust (DCT):
    • Não há suporte para a assinatura de imagens com DCT para registros habilitados para ABAC.

• Cenário: pipelines, identidades e desenvolvedores que precisam criar, atualizar ou excluir registros do ACR

  • Função: Container Registry Contributor and Data Access Configuration Administrator
  • Permissões:
    • Concede acesso ao plano de controle para criar, configurar, gerenciar e excluir registros, incluindo:
      • configurar SKUs de registro
      • configurações de acesso de autenticação (credenciais de logon do usuário administrador, pull anônimo, permissões de repositório não baseadas em token do Microsoft Entra e audiência de token de autenticação como braço do Microsoft Entra),
      • recursos de alta disponibilidade (replicações geográficas, zonas de disponibilidade e redundância de zona),
      • funcionalidades locais (registros conectados)
      • pontos de extremidade do registro (pontos de extremidade de dados dedicados)
      • acesso à rede (link privado e configurações de ponto de extremidade privado, acesso à rede pública, desvio de serviços confiáveis, regras de firewall de rede e pontos de extremidade de serviço de Rede Virtual (VNET)).
      • Políticas de registro (política de retenção, habilitação de quarentena em todo o Registro, habilitação de exclusão reversível e política de exportação de exfiltração de dados)
      • configurações de diagnóstico e monitoramento (configurações de diagnóstico, logs, métricas, webhooks para registros e replicações geográficas e Event Grid)
      • gerenciar a identidade gerenciada atribuída pelo sistema de um registro
    • Observação: essa função concede permissões para excluir o registro em si.
    • Observação: essa função não inclui operações de plano de dados (por exemplo, push/pull de imagem), recursos de atribuição de função ou tarefa do ACR.
    • Observação: para gerenciar uma identidade gerenciada atribuída pelo usuário de um registro, o destinatário também deve ter a função Managed Identity Operator.
  • Suporte ao ABAC: essa função não dá suporte a condições ABAC do Microsoft Entra, pois o escopo da função abrange o nível de registro, concedendo permissões para gerenciar definições e configurações do plano de controle para todo o registro.

• Cenário: pipelines, engenheiros de infraestrutura ou ferramentas de observabilidade/monitoramento do plano de controle que precisam listar registros e exibir configurações do registro, mas não acesso a imagens do registro

  • Função: Container Registry Configuration Reader and Data Access Configuration Reader
  • Permissões: equivalente somente leitura da função Container Registry Contributor and Data Access Configuration Administrator. Concede acesso ao plano de controle para exibir e listar registros e inspecionar as configurações do Registro, mas não modificá-las. Não inclui operações do plano de dados (por exemplo, envio/recepção de imagem) ou capacidades de atribuição de função.
  • Suporte ao ABAC: essa função não dá suporte às condições ABAC do Microsoft Entra, pois a função tem como escopo o nível do registro, concedendo permissões para ler as configurações do plano de controle para todo o registro.

• Cenário: ferramentas de escaneamento de vulnerabilidade que precisam auditar registros e suas configurações, além de acessar as imagens de registros para escanear vulnerabilidades

  • Funções: Container Registry Repository Reader, Container Registry Repository Catalog Listere Container Registry Configuration Reader and Data Access Configuration Reader
  • Permissões: concede acesso ao painel de controle para exibir e listar registros do ACR, bem como auditar as configurações do Registro para auditoria e conformidade. Também concede permissões para obter imagens, artefatos e tags de visualização, a fim de verificar e analisar imagens em busca de vulnerabilidades.
  • Suporte ao ABAC: o ACR recomenda que os scanners e monitores de vulnerabilidade tenham acesso completo à camada de dados para todos os repositórios cadastrados no registro. Dessa forma, essas funções devem ser atribuídas sem condições do ABAC do Microsoft Entra para conceder permissões de função sem escopo para repositórios específicos.

• Cenário: pipelines e identidades que orquestram tarefas do ACR

  • Função: Container Registry Tasks Contributor
  • Permissões: gerenciar tarefas do ACR, incluindo definições de tarefas e execuções de tarefas, pools de agentes de tarefas, builds rápidos com az acr build e execuções rápidas com az acr run e logs de tarefas. Não inclui permissões de plano de dados ou configuração mais ampla do registro
  • Observação: para gerenciar totalmente as identidades de tarefa, o destinatário deve ter a função Managed Identity Operator.
  • Suporte ao ABAC: essa função não dá suporte a condições do ABAC do Microsoft Entra, pois a função tem como escopo o nível do Registro, concedendo permissões para gerenciar todas as Tarefas do ACR no registro.

• Cenário: identidades tais como pipelines e desenvolvedores que importam imagens com az acr import

  • Função: Container Registry Data Importer and Data Reader
  • Permissões: concede acesso ao painel de controle para disparar importações de imagem usando az acr import e acesso ao plano de dados para validar o sucesso da importação (efetuar pull de imagens e artefatos importados, exibir conteúdo do repositório, listar referenciadores da OCI e inspecionar marcas importadas). Não permite realizar push ou modificar qualquer conteúdo no registro.
  • Suporte ao ABAC: Essa função não dá suporte a condições ABAC do Microsoft Entra, pois a função tem escopo no nível do Registro, concedendo permissões para importar imagens para qualquer repositório dentro do Registro. Ele também concede permissões para ler imagens em todos os repositórios no registro.

• Cenário: identidades como pipelines e desenvolvedores que gerenciam pipelines de transferência do ACR para transferir artefatos entre registros usando contas de armazenamento intermediárias entre limites de rede, locatário ou lacuna de ar

  • Função: Container Registry Transfer Pipeline Contributor
  • Permissões: concede acesso ao painel de controle para gerenciar pipelines de transferência de importação/exportação do ACR e execuções de pipeline usando contas de armazenamento intermediárias. Não inclui permissões de plano de dados, acesso mais amplo ao Registro ou permissões para gerenciar outros tipos de recursos do Azure, como contas de armazenamento ou cofres de chaves.
  • Suporte ao ABAC: essa função não dá suporte a condições do ABAC do Microsoft Entra, pois a função tem como escopo o nível do Registro, concedendo permissões para gerenciar todos os pipelines de transferência do ACR no registro.

• Cenário: Gerenciamento de imagens em quarentena

  • Funções: AcrQuarantineReader e AcrQuarantineWriter
  • Permissões: gerenciar imagens em quarentena no registro, incluindo listagem e obtenção de imagens em quarentena para inspeção adicional, além de modificar o status de quarentena das imagens. As imagens em quarentena são imagens enviadas por push que não podem ser transferidas ou usadas até que sejam retiradas da quarentena.
  • Suporte ao ABAC: essa função não dá suporte a condições do ABAC do Microsoft Entra, pois a função tem como escopo o nível do Registro, concedendo permissões para gerenciar todas as imagens em quarentena no registro.

• Cenário: desenvolvedores ou processos que configuram a limpeza automática do registro em Tarefas do ACR

  • Função: Container Registry Tasks Contributor
  • Permissões: concede permissões do plano de controle para gerenciar a limpeza automática, que é executada em Tarefas do ACR.
  • Suporte ao ABAC: essa função não dá suporte a condições do ABAC do Microsoft Entra, pois a função tem como escopo o nível do Registro, concedendo permissões para gerenciar todas as Tarefas do ACR no registro.

• Cenário: usuários da extensão do Docker do Visual Studio Code

  • Funções: Container Registry Repository Writer, Container Registry Tasks Contributore Container Registry Contributor and Data Access Configuration Administrator
  • Permissões: concede recursos para procurar registros, efetuar pull e push de imagens e criar imagens usando az acr build, dando suporte a fluxos de trabalho comuns do desenvolvedor no Visual Studio Code.
  • Suporte ao ABAC: o ACR recomenda que os usuários do Visual Studio Code tenham acesso completo ao plano de dados a todos os repositórios no registro. Dessa forma, essas funções devem ser atribuídas sem condições do ABAC do Microsoft Entra para conceder permissões de função sem escopo para repositórios específicos.

Registros configurados com "Permissões de Registro RBAC"

• Cenário: identidades que precisam efetuar pull de imagens e validar artefatos da cadeia de fornecedores, como desenvolvedores, pipelines e orquestradores de contêineres (por exemplo, identidade do kubelet do nó do Serviço de Kubernetes do Azure, Aplicativos de Contêiner do Azure, Instâncias de Contêiner do Azure, workspaces do Azure Machine Learning)

  • Função: AcrPull
  • Finalidade: concede acesso somente leitura do plano de dados para efetuar pull de imagens e artefatos, visualizar marcas, repositórios, referenciadores da Open Container Initiative (OCI) e configurações de transmissão de artefatos. Não inclui nenhuma permissão do painel de controle ou de gravação.

• Cenário: identidades como pipelines de build de CI/CD e desenvolvedores que criam e enviam imagens por push, bem como gerenciam marcas de imagem

  • Função: AcrPush
  • Permissões: concede acesso ao plano de dados para efetuar push e pull de imagens e artefatos, gerenciar marcas, trabalhar com referenciadores da OCI e configurar a transmissão de artefatos para repositórios e imagens. Não inclui nenhuma permissão do painel de controle.

• Cenário: pipelines, identidades e desenvolvedores que assinam imagens

  • Para assinar imagens com referenciadores da OCI, como o Notary Project:
    • Função: AcrPush
    • Permissões: concede acesso ao plano de dados para enviar assinaturas por push na forma de referenciadores da OCI anexados a imagens e artefatos. Não inclui nenhuma permissão do painel de controle.
  • Para assinar imagens com Docker Content Trust (DCT):
    • Função: AcrImageSigner
    • Permissões: assinar imagens no repositório com Docker Content Trust (DCT).
    • Observação: a Confiança de Conteúdo do Docker está sendo descontinuada.

• Cenário: pipelines, identidades e desenvolvedores que precisam criar, atualizar ou excluir registros do ACR

  • Função: Container Registry Contributor and Data Access Configuration Administrator
  • Permissões:
    • Concede acesso ao plano de controle para criar, configurar, gerenciar e excluir registros, incluindo:
      • configurar SKUs de registro
      • configurações de acesso de autenticação (credenciais de logon do usuário administrador, pull anônimo, permissões de repositório não baseadas em token do Microsoft Entra e audiência de token de autenticação como braço do Microsoft Entra),
      • recursos de alta disponibilidade (replicações geográficas, zonas de disponibilidade e redundância de zona),
      • funcionalidades locais (registros conectados)
      • pontos de extremidade do registro (pontos de extremidade de dados dedicados)
      • acesso à rede (link privado e configurações de ponto de extremidade privado, acesso à rede pública, desvio de serviços confiáveis, regras de firewall de rede e pontos de extremidade de serviço de Rede Virtual (VNET)).
      • Políticas de registro (política de retenção, habilitação de quarentena em todo o Registro, habilitação de exclusão reversível e política de exportação de exfiltração de dados)
      • configurações de diagnóstico e monitoramento (configurações de diagnóstico, logs, métricas, webhooks para registros e replicações geográficas e Event Grid)
      • gerenciar a identidade gerenciada atribuída pelo sistema de um registro
    • Observação: essa função concede permissões para excluir o registro em si.
    • Observação: essa função não inclui operações de plano de dados (por exemplo, push/pull de imagem), recursos de atribuição de função ou tarefa do ACR.
    • Observação: para gerenciar uma identidade gerenciada atribuída pelo usuário de um registro, o destinatário também deve ter a função Managed Identity Operator.

• Cenário: pipelines, engenheiros de infraestrutura ou ferramentas de observabilidade/monitoramento do plano de controle que precisam listar registros e exibir configurações do registro, mas não acesso a imagens do registro

  • Função: Container Registry Configuration Reader and Data Access Configuration Reader
  • Permissões: equivalente somente leitura da função Container Registry Contributor and Data Access Configuration Administrator. Concede acesso ao plano de controle para exibir e listar registros e inspecionar as configurações do Registro, mas não modificá-las. Não inclui operações do plano de dados (por exemplo, envio/recepção de imagem) ou capacidades de atribuição de função.

• Cenário: ferramentas de escaneamento de vulnerabilidade que precisam auditar registros e suas configurações, além de acessar as imagens de registros para escanear vulnerabilidades

  • Funções: AcrPull e Container Registry Configuration Reader and Data Access Configuration Reader
  • Permissões: concede acesso ao painel de controle para exibir e listar registros do ACR, bem como auditar as configurações do Registro para auditoria e conformidade. Também concede permissões para obter imagens, artefatos e tags de visualização, a fim de verificar e analisar imagens em busca de vulnerabilidades.

• Cenário: pipelines e identidades que orquestram tarefas do ACR

  • Função: Container Registry Tasks Contributor
  • Permissões: gerenciar tarefas do ACR, incluindo definições de tarefas e execuções de tarefas, pools de agentes de tarefas, builds rápidos com az acr build e execuções rápidas com az acr run e logs de tarefas. Não inclui permissões de plano de dados ou configuração mais ampla do registro
  • Observação: para gerenciar totalmente as identidades de tarefa, o destinatário deve ter a função Managed Identity Operator.

• Cenário: identidades tais como pipelines e desenvolvedores que importam imagens com az acr import

  • Função: Container Registry Data Importer and Data Reader
  • Permissões: concede acesso ao painel de controle para disparar importações de imagem usando az acr import e acesso ao plano de dados para validar o sucesso da importação (efetuar pull de imagens e artefatos importados, exibir conteúdo do repositório, listar referenciadores da OCI e inspecionar marcas importadas). Não permite realizar push ou modificar qualquer conteúdo no registro.

• Cenário: identidades como pipelines e desenvolvedores que gerenciam pipelines de transferência do ACR para transferir artefatos entre registros usando contas de armazenamento intermediárias entre limites de rede, locatário ou lacuna de ar

  • Função: Container Registry Transfer Pipeline Contributor
  • Permissões: concede acesso ao painel de controle para gerenciar pipelines de transferência de importação/exportação do ACR e execuções de pipeline usando contas de armazenamento intermediárias. Não inclui permissões de plano de dados, acesso mais amplo ao Registro ou permissões para gerenciar outros tipos de recursos do Azure, como contas de armazenamento ou cofres de chaves.

• Cenário: Gerenciamento de imagens em quarentena

  • Funções: AcrQuarantineReader e AcrQuarantineWriter
  • Permissões: gerenciar imagens em quarentena no registro, incluindo listagem e obtenção de imagens em quarentena para inspeção adicional, além de modificar o status de quarentena das imagens. As imagens em quarentena são imagens enviadas por push que não podem ser transferidas ou usadas até que sejam retiradas da quarentena.

• Cenário: excluindo imagens, artefatos, marcas e referenciadores da OCI

  • Função: AcrDelete
  • Permissões: fornece permissões para excluir artefatos e marcas em todos os repositórios no Registro. Essa função não concede permissões para excluir o registro em si.

• Cenário: desenvolvedores ou processos que configuram a limpeza automática do registro em Tarefas do ACR

  • Função: Container Registry Tasks Contributor
  • Permissões: concede permissões do plano de controle para gerenciar a limpeza automática, que é executada em Tarefas do ACR.

• Cenário: usuários da extensão do Docker do Visual Studio Code

  • Funções: AcrPush, Container Registry Tasks Contributore Container Registry Contributor and Data Access Configuration Administrator
  • Permissões: concede recursos para procurar registros, efetuar pull e push de imagens e criar imagens usando az acr build, dando suporte a fluxos de trabalho comuns do desenvolvedor no Visual Studio Code.

Próximas etapas

• Para executar atribuições de função com condições do ABAC opcionais do Microsoft Entra para definir atribuições de função para repositórios específicos, consulte permissões de repositório baseadas no Microsoft Entra.
• Para obter uma referência detalhada de cada função interna do ACR, incluindo as permissões concedidas por cada função, consulte a referência de diretório de funções do Registro de Contêiner do Azure.
• Para obter mais informações sobre como criar funções personalizadas que atendam às suas necessidades e requisitos específicos, consulte as funções personalizadas do Registro de Contêiner do Azure.