Entenda o acesso a um registro conectado

  • Artigo

Para acessar e gerenciar um registro conectado, atualmente há suporte apenas para a autenticação baseada em token do ACR. Conforme mostrado na imagem a seguir, dois tipos diferentes de tokens são usados por cada registro conectado:

  • Tokens de cliente – um ou mais tokens que os clientes locais usam para autenticar com um registro conectado e efetuar push ou pull de imagens e artefatos para ou dele.
  • Token de sincronização – um token usado por cada registro conectado para acessar seu conteúdo pai e sincronizar.

Visão geral da autenticação do Registro Conectado

Importante

Armazene senhas de token para cada registro conectado em um local seguro. Depois que são criadas, as senhas de token não podem ser recuperadas. Você pode regerar senhas de token a qualquer momento.

Tokens de cliente

Para gerenciar o acesso do cliente a um registro conectado, você cria tokens para ações em um ou mais repositórios. Depois de criar um token, configure o registro conectado para aceitar o token usando o comando az acr connected-registry update. Em seguida, um cliente pode usar as credenciais de token para acessar um ponto de extremidade do registro conectado – por exemplo, para usar comandos da CLI do Docker para pull ou push de imagens para o registro conectado.

Suas opções para configurar ações de token de cliente dependem se o registro conectado permite operações de push e pull ou funções, como um espelho somente pull.

  • Um registro conectado no modo ReadWrite padrão permite operações de pull e push, portanto, você pode criar um token que permita ações para ler e gravar o conteúdo do repositório nesse registro.
  • Para um registro conectado no modo ReadOnly,os tokens de cliente só podem permitir ações para ler o conteúdo do repositório.

Gerenciar tokens de cliente

Atualize tokens de cliente, senhas ou mapas de escopo conforme necessário usando os comandos az acr token e az acr scope-map. As atualizações de token do cliente são propagadas automaticamente para os registros conectados que aceitam o token.

Token de sincronização

Cada registro conectado usa um token de sincronização para autenticar com seu pai imediato, que pode ser outro registro conectado ou o registro de nuvem. O registro conectado usa automaticamente esse token ao sincronizar o conteúdo com o pai ou executar outras atualizações.

  • O token de sincronização e as senhas são gerados automaticamente quando você cria o recurso de registro conectado. Execute o comando az acr connected-registry install renew-credentials para regerar as senhas.
  • Inclua credenciais de token de sincronização na configuração usada para implantar o registro conectado localmente.
  • Por padrão, o token de sincronização tem permissão para sincronizar repositórios selecionados com seu pai. Você deve fornecer um token de sincronização existente ou um ou mais repositórios para sincronizar ao criar o recurso de registro conectado.
  • Ele também tem permissões para ler e gravar mensagens de sincronização em um gateway usado para se comunicar com o pai do registro conectado. Essas mensagens controlam o agendamento de sincronização e gerenciam outras atualizações entre o registro conectado e seu pai.

Gerenciar token de sincronização

Atualize tokens de cliente, senhas ou mapas de escopo conforme necessário usando os comandos az acr token e az acr scope-map. As atualizações de token de sincronização são propagadas automaticamente para o registro conectado. Siga as práticas padrão de rotação de senhas ao atualizar o token de sincronização.

Observação

O token de sincronização não pode ser excluído até que o registro conectado associado a ele seja excluído. Você pode desabilitar um registro conectado definindo o status do token de sincronização como disabled.

Pontos de extremidade do registro

As credenciais de token para registros conectados têm escopo para acessar pontos de extremidade específicos do registro:

  • Um token de cliente acessa o ponto de extremidade do registro conectado. O ponto de extremidade do registro conectado é o URI do servidor de logon, que normalmente é o endereço IP do servidor ou dispositivo que o hospeda.

  • Um token de sincronização acessa o ponto de extremidade do registro pai, que é outro ponto de extremidade do registro conectado ou o próprio registro da nuvem. Quando tem o escopo para acessar o registro da nuvem, o token de sincronização precisa alcançar dois pontos de extremidade do registro:

    • O nome do servidor de logon totalmente qualificado, por exemplo, contoso.azurecr.io. Esse ponto de extremidade é usado para autenticação.
    • Um ponto de extremidade de dados regional totalmente qualificado para o registro de nuvem, por exemplo, contoso.westus2.data.azurecr.io. Esse ponto de extremidade é usado para trocar mensagens com o registro conectado para fins de sincronização.

Próximas etapas

Continue no artigo a seguir para saber mais sobre cenários específicos nos quais o registro conectado pode ser utilizado.

Visão geral: Registro e IoT Edge conectados