Compreender o acesso a um registo ligado

Artigo
16/10/2024

Para acessar e gerenciar um registro conectado, atualmente apenas a autenticação baseada em token ACR é suportada. Como mostrado na imagem a seguir, dois tipos diferentes de tokens são usados por cada registro conectado:

Tokens de cliente - Um ou mais tokens que os clientes locais usam para autenticar com um registro conectado e enviar ou extrair imagens e artefatos para ou a partir dele.
Token de sincronização - Um token usado por cada registro conectado para acessar seu pai e sincronizar conteúdo.

Verview de autenticação de registro conectado

Importante

Armazene senhas de token para cada registro conectado em um local seguro. Depois de criadas, as senhas de token não podem ser recuperadas. Você pode regenerar senhas de token a qualquer momento.

Tokens de cliente

Para gerenciar o acesso do cliente a um registro conectado, crie tokens com escopo para ações em um ou mais repositórios. Depois de criar um token, configure o registro conectado para aceitar o token usando o comando az acr connected-registry update . Um cliente pode usar as credenciais de token para acessar um ponto de extremidade do registro conectado - por exemplo, para usar comandos da CLI do Docker para extrair ou enviar imagens para o registro conectado.

Suas opções para configurar ações de token de cliente dependem se o registro conectado permite operações push e pull ou funciona como um espelho somente pull.

Um registro conectado no modo ReadWrite padrão permite operações pull e push, para que você possa criar um token que permita ações para ler e gravar conteúdo do repositório nesse registro.
Para um registro conectado no modo Somente Leitura, os tokens de cliente só podem permitir ações para ler o conteúdo do repositório.

Gerenciar tokens de cliente

Atualize tokens de cliente, senhas ou mapas de escopo conforme necessário usando os comandos az acr token e az acr scope-map . As atualizações de token de cliente são propagadas automaticamente para os registros conectados que aceitam o token.

Token de sincronização

Cada registro conectado usa um token de sincronização para autenticar com seu pai imediato - que pode ser outro registro conectado ou o registro na nuvem. O registro conectado usa automaticamente esse token ao sincronizar o conteúdo com o pai ou executar outras atualizações.

O token de sincronização e as senhas são gerados automaticamente quando você cria o recurso de registro conectado. Execute o comando [az acr connected-registry get-settings][/cli/azure/acr/connected-registry#az-acr-connected-registry-get-settings] para gerar novamente as senhas.
Inclua credenciais de token de sincronização na configuração usada para implantar o registro conectado localmente.
Por padrão, o token de sincronização recebe permissão para sincronizar repositórios selecionados com seu pai. Você deve fornecer um token de sincronização existente ou um ou mais repositórios para sincronizar ao criar o recurso do Registro conectado.
Ele também tem permissões para ler e gravar mensagens de sincronização em um gateway usado para se comunicar com o pai do registro conectado. Essas mensagens controlam o agendamento de sincronização e gerenciam outras atualizações entre o registro conectado e seu pai.

Gerenciar token de sincronização

Atualize tokens de sincronização, senhas ou mapas de escopo conforme necessário usando os comandos az acr token e az acr scope-map . As atualizações de token de sincronização são propagadas automaticamente para o registro conectado. Siga as práticas padrão de rotação de senhas ao atualizar o token de sincronização.

Nota

O token de sincronização não pode ser excluído até que o registro conectado associado ao token seja excluído. Você pode desabilitar um registro conectado definindo o status do token de sincronização como disabled.

Pontos de extremidade do Registro

As credenciais de token para registros conectados têm como escopo acessar pontos de extremidade de registro específicos:

Um token de cliente acessa o ponto de extremidade do registro conectado. O ponto de extremidade do Registro conectado é o URI do servidor de login, que normalmente é o endereço IP do servidor ou dispositivo que o hospeda.
Um token de sincronização acessa o ponto de extremidade do registro pai, que é outro ponto de extremidade do registro conectado ou o próprio registro na nuvem. Quando definido como escopo para acessar o registro na nuvem, o token de sincronização precisa alcançar dois pontos de extremidade do Registro:
- O nome do servidor de login totalmente qualificado, por exemplo, contoso.azurecr.io. Este ponto de extremidade é usado para autenticação.
- Um ponto de extremidade de dados regional totalmente qualificado para o registro na nuvem, por exemplo, contoso.westus2.data.azurecr.io. Este ponto de extremidade é usado para trocar mensagens com o registro conectado para fins de sincronização.

Próximos passos

Continue para o seguinte artigo para saber mais sobre cenários específicos onde o registro conectado pode ser utilizado.

Visão geral: Registro conectado e IoT Edge

Recursos adicionais

Documentação

Pull Images from a Connected Registry with Azure IoT Edge - Azure Container Registry

Learn how to use Azure Container Registry CLI commands to configure a client token and pull images from a connected registry on an IoT Edge device.
Quickstart - Create Connected Registry Using the CLI - Azure Container Registry

Use Azure CLI commands to create a connected Azure container registry resource that can synchronize images and other artifacts with the cloud registry.
Quickstart - Create Connected Registry Using the Portal - Azure Container Registry

Use Azure portal to create a connected Azure container registry resource that can synchronize images and other artifacts with the cloud registry.
Connected Registry in Azure Container Registry - Azure Container Registry

Discover the connected registry feature in Azure Container Registry. Learn about its benefits and practical use cases for container management.
Quickstart: Create an Azure container registry using Terraform - Azure Container Registry

In this quickstart, you create a unique resource group and an Azure container registry in a specified location using Terraform.
Import Container Images to ACR using Azure APIs - Azure Container Registry

Import container images to an Azure container registry by using Azure APIs, without needing to run Docker commands.
Quickstart: Deploying the Connected Registry Arc Extension - Azure Container Registry

Learn how to deploy the Connected Registry Arc Extension CLI UX with secure-by-default settings for efficient and secure container workload operations.
About Registries, Repositories, Images, and Artifacts - Azure Container Registry

Introduction to key concepts of Azure container registries, repositories, container images, and other artifacts.

Formação

Módulo

Configure Azure Container Registry for container app deployments - Training

Learn how to create and configure an Azure Container Registry, the process of pushing container images to Azure Container Registry and explore different authentication methods and security features for Azure Container Registry.

Certificação

Microsoft Certified: Identity and Access Administrator Associate - Certifications

Demonstrate the features of Microsoft Entra ID to modernize identity solutions, implement hybrid solutions, and implement identity governance.

evento

Crie aplicativos inteligentes

17/03, 21 - 21/03, 10

Junte-se à série meetup para criar soluções de IA escaláveis com base em casos de uso do mundo real com outros desenvolvedores e especialistas.

Registe-se agora

Partilhar via