Dela via

Inaktivera autentisering som ARM-mall

  • Artikel

Azure AD-token används när registeranvändare autentiserar med ACR. Som standard accepterar Azure Container Registry (ACR) Azure AD-token med en målgruppsomfångsuppsättning för Azure Resource Manager (ARM), ett kontrollplanshanteringslager för hantering av Azure-resurser.

Genom att inaktivera ARM-målgruppstoken och framtvinga ACR-målgruppstoken kan du förbättra säkerheten för dina containerregister under autentiseringsprocessen genom att begränsa omfattningen för godkända token.

Med tillämpning av ACR-målgruppstoken godkänns endast Azure AD-token med ett målgruppsomfång som är specifikt inställt för ACR under registreringsprocessen för autentisering och inloggning. Det innebär att de tidigare godkända ARM-målgruppstoken inte längre är giltiga för registerautentisering, vilket förbättrar säkerheten för dina containerregister.

I den här självstudien lär du dig att:

  • Inaktivera autentisering som arm i ACR – Azure CLI.
  • Inaktivera autentisering som arm i ACR – Azure-portalen.

Förutsättningar

Inaktivera autentisering som arm i ACR – Azure CLI

Inaktivering azureADAuthenticationAsArmPolicy tvingar registret att använda ACR-målgruppstoken. Du kan använda Azure CLI version 2.40.0 eller senare och köra az --version för att hitta versionen.

  1. Kör kommandot för att visa den aktuella konfigurationen av registrets princip för autentisering med hjälp av ARM-token med registret. Om statusen är enabledkan både ACR:er och ARM-målgruppstoken användas för autentisering. Om statusen är disabled innebär det att endast ACR:s målgruppstoken kan användas för autentisering.

    az acr config authentication-as-arm show -r <registry>

  2. Kör kommandot för att uppdatera statusen för registrets princip.

    az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]

Inaktivera autentisering som arm i ACR – Azure-portalen

Om du inaktiverar authentication-as-arm egenskapen genom att tilldela en inbyggd princip inaktiveras registeregenskapen automatiskt för aktuella och framtida register. Det här automatiska beteendet gäller för register som skapats inom principomfånget. De möjliga principomfattningarna omfattar antingen omfång på resursgruppsnivå eller prenumerations-ID-nivåomfång i klientorganisationen.

Du kan inaktivera autentisering som arm i ACR genom att följa stegen nedan:

  1. Logga in på Azure-portalen.

  2. Se ACR:s inbyggda principdefinitioner i definitionen azure-container-registry-built-in-policy.

  3. Tilldela en inbyggd princip för att inaktivera autentisering som arm-definition – Azure-portalen.

Tilldela en inbyggd principdefinition för att inaktivera autentisering med ARM-målgruppstoken – Azure-portalen.

Du kan aktivera registrets princip för villkorsstyrd åtkomst i Azure-portalen.

Azure Container Registry har två inbyggda principdefinitioner för att inaktivera autentisering som arm enligt nedan:

  • Container registries should have ARM audience token authentication disabled. – Den här principen rapporterar, blockerar alla icke-kompatibla resurser och skickar även en begäran om att uppdatera icke-kompatibla till kompatibla.

  • Configure container registries to disable ARM audience token authentication. – Den här principen erbjuder reparation och uppdateringar som inte är kompatibla med kompatibla resurser.

    1. Logga in på Azure-portalen.

    2. Gå till resursgruppen >för Azure Container Registry>Inställningar> Principer .

      Screenshot showing how to navigate Azure policies.

    3. Gå till Azure Policy. Välj Tilldela princip i Tilldelningar.

      Screenshot showing how to assign a policy.

    4. Under Principen Tilldela använder du filter för att söka efter omfång, principdefinition, tilldelningsnamn.

      Screenshot of the assign policy tab.

    5. Välj Omfång för att filtrera och söka efter Prenumeration och ResourceGroup och välj Välj.

      Screenshot of the Scope tab.

    6. Välj Principdefinition för att filtrera och söka i de inbyggda principdefinitionerna efter principen för villkorsstyrd åtkomst.

      Screenshot of built-in-policy-definitions.

    7. Använd filter för att välja och bekräfta omfång, principdefinition och tilldelningsnamn.

    8. Använd filtren för att begränsa efterlevnadstillstånd eller för att söka efter principer.

    9. Bekräfta inställningarna och ange principtillämpningen som aktiverad.

    10. Välj Granska + skapa.

      Screenshot to activate a Conditional Access policy.

Nästa steg

Skapa och konfigurera en princip för villkorlig åtkomst