Permitir que os serviços fidedignos acedam de forma segura a um registo de contentor restrito à rede

Azure Container Registry pode permitir que os serviços do Azure fidedignos selecionados acedam a um registo configurado com regras de acesso à rede. Quando os serviços fidedignos são permitidos, uma instância de serviço fidedigna pode ignorar de forma segura as regras de rede do registo e executar operações como imagens pull ou push. Este artigo explica como ativar e utilizar serviços fidedignos com um registo de contentor do Azure restrito à rede.

Utilize o Azure Cloud Shell ou uma instalação local da CLI do Azure para executar os exemplos de comandos neste artigo. Se quiser utilizá-lo localmente, é necessária a versão 2.18 ou posterior. Executar az --version para localizar a versão. Se precisar de instalar ou atualizar, veja Install Azure CLI (Instalar o Azure CLI).

Limitações

• Determinados cenários de acesso ao registo com serviços fidedignos requerem uma identidade gerida para os recursos do Azure. Exceto quando se observar que uma identidade gerida atribuída pelo utilizador é suportada, só pode ser utilizada uma identidade atribuída pelo sistema.
• Permitir serviços fidedignos não se aplica a um registo de contentor configurado com um ponto final de serviço. A funcionalidade afeta apenas os registos restritos com um ponto final privado ou que tenham regras de acesso ip público aplicadas .

Acerca dos serviços fidedignos

Azure Container Registry tem um modelo de segurança em camadas, que suporta várias configurações de rede que restringem o acesso a um registo, incluindo:

• Ponto final privado com Azure Private Link. Quando configurado, o ponto final privado de um registo só está acessível a recursos dentro da rede virtual, utilizando endereços IP privados.
• Regras de firewall do registo, que permitem o acesso ao ponto final público do registo apenas a partir de endereços IP públicos específicos ou intervalos de endereços. Também pode configurar a firewall para bloquear todo o acesso ao ponto final público ao utilizar pontos finais privados.

Quando implementado numa rede virtual ou configurado com regras de firewall, um registo nega o acesso a utilizadores ou serviços de fora dessas origens.

Vários serviços multi-inquilino do Azure operam a partir de redes que não podem ser incluídas nestas definições de rede de registo, impedindo-os de realizar operações como solicitar ou enviar imagens para o registo. Ao designar determinadas instâncias de serviço como "fidedignas", um proprietário do registo pode permitir que os recursos do Azure selecionados ignorem de forma segura as definições de rede do registo para realizar operações de registo.

Serviços fidedignos

As instâncias dos seguintes serviços podem aceder a um registo de contentor restrito à rede se a definição permitir serviços fidedignos do registo estiver ativada (a predefinição). Serão adicionados mais serviços ao longo do tempo.

Quando indicado, o acesso pelo serviço fidedigno requer uma configuração adicional de uma identidade gerida numa instância de serviço, atribuição de uma função RBAC e autenticação com o registo. Por exemplo, veja Fluxo de trabalho de serviços fidedignos, mais adiante neste artigo.

Serviço fidedigno	Cenários de utilização suportados	Configurar a identidade gerida com a função RBAC
Azure Container Instances	Implementar para Azure Container Instances a partir de Azure Container Registry com uma identidade gerida	Sim, identidade atribuída pelo sistema ou atribuída pelo utilizador
Microsoft Defender para a Cloud	Análise de vulnerabilidades por Microsoft Defender para registos de contentores	No
Tarefas ACR	Aceder ao registo principal ou a um registo diferente a partir de uma Tarefa do ACR	Yes
Machine Learning	Implementar ou preparar um modelo numa área de trabalho do Machine Learning com uma imagem de contentor personalizada do Docker	Yes
Registo de Contentores do Azure	Importar imagens de ou para um registo de contentor do Azure restrito à rede	No

Nota

De forma curente, a ativação da definição permitir serviços fidedignos não se aplica a Serviço de Aplicações.

Permitir serviços fidedignos - CLI

Por predefinição, a definição permitir serviços fidedignos está ativada num novo registo de contentor do Azure. Desative ou ative a definição ao executar o comando az acr update .

Para desativar:

az acr update --name myregistry --allow-trusted-services false

Para ativar a definição num registo existente ou num registo onde já esteja desativado:

az acr update --name myregistry --allow-trusted-services true

Permitir serviços fidedignos - portal

Por predefinição, a definição permitir serviços fidedignos está ativada num novo registo de contentor do Azure.

Para desativar ou reativar a definição no portal:

1. No portal, navegue para o seu registo de contentor.
2. Em Definições, selecione Rede.
3. Em Permitir acesso à rede pública, selecione Redes selecionadas ou Desativadas.
4. Faça um dos seguintes:
   • Para desativar o acesso por serviços fidedignos, em Exceção da firewall, desmarque Permitir que os serviços Microsoft fidedignos acedam a este registo de contentor.
   • Para permitir serviços fidedignos, em Exceção da firewall, verifique Permitir que os serviços Microsoft fidedignos acedam a este registo de contentor.
5. Selecione Guardar.

Fluxo de trabalho de serviços fidedignos

Eis um fluxo de trabalho típico para permitir que uma instância de um serviço fidedigno aceda a um registo de contentor restrito à rede. Este fluxo de trabalho é necessário quando a identidade gerida de uma instância de serviço é utilizada para ignorar as regras de rede do registo.

1. Ative uma identidade gerida numa instância de um dos serviços fidedignos para Azure Container Registry.
2. Atribua à identidade uma função do Azure ao seu registo. Por exemplo, atribua a função ACRPull para extrair imagens de contentor.
3. No registo restrito de rede, configure a definição para permitir o acesso por serviços fidedignos.
4. Utilize as credenciais da identidade para autenticar com o registo restrito de rede.
5. Extraia imagens do registo ou execute outras operações permitidas pela função.

Exemplo: Tarefas do ACR

O exemplo seguinte demonstra a utilização de Tarefas do ACR como um serviço fidedigno. Veja Autenticação entre registos numa tarefa do ACR com uma identidade gerida pelo Azure para obter detalhes da tarefa.

1. Criar ou atualizar um registo de contentor do Azure. Criar uma tarefa do ACR.
   • Ative uma identidade gerida atribuída pelo sistema ao criar a tarefa.
   • Desative o modo de autenticação predefinido (--auth-mode None) da tarefa.
2. Atribua à identidade da tarefa uma função do Azure para aceder ao registo. Por exemplo, atribua a função AcrPush, que tem permissões para extrair e emitir imagens.
3. Adicione credenciais de identidade gerida para o registo à tarefa.
4. Para confirmar que a tarefa ignora as restrições de rede, desative o acesso público no registo.
5. Execute a tarefa. Se o registo e a tarefa estiverem configurados corretamente, a tarefa será executada com êxito, porque o registo permite o acesso.

Para testar a desativação do acesso por serviços fidedignos:

1. Desative a definição para permitir o acesso por serviços fidedignos.
2. Execute a tarefa novamente. Neste caso, a execução da tarefa falha porque o registo já não permite o acesso pela tarefa.

Passos seguintes

• Para restringir o acesso a um registo através de um ponto final privado numa rede virtual, veja Configurar Azure Private Link para um registo de contentor do Azure.
• Para configurar regras de firewall de registo, veja Configurar regras de rede IP públicas.