瞭解已連線登錄的存取權

  • 發行項

若要存取和管理已連線登錄,目前僅支援 ACR 權杖型驗證。 如下圖所示,每個已連線登錄都會使用兩種不同類型的權杖:

  • 用戶端權杖 - 內部部署用戶端用來向連線登錄進行驗證的一或多個權杖,並將映射和成品推送或提取至其中或從中提取。
  • 同步權杖 - 每個已連線登錄用來存取其父系和同步內容的權杖。

Connected registry authentication verview

重要

將每個已連線登錄的權杖密碼儲存在安全的位置。 建立權杖密碼之後,就無法擷取權杖密碼。 您可以隨時產生權杖密碼。

用戶端權杖

若要管理已連線登錄的用戶端存取權,您可以針對一或多個存放庫上的動作建立有限範圍的權杖。 建立權杖之後,請使用 az acr connected-registry update 命令,將已連線登錄設定為接受權杖。 接著,用戶端可以使用權杖認證來存取已連線登錄端點,例如,使用 Docker CLI 命令將映像提取或推送至已連線登錄。

設定用戶端權杖動作的選項取決於已連線登錄是否允許推送和提取作業,或作為僅限提取鏡像的功能。

  • 預設 ReadWrite 模式中的已連線登錄允許提取和推送作業,因此您可以建立權杖,以允許該在登錄中讀取和寫入存放庫內容的動作。
  • 對於唯讀模式中的已連線登錄,用戶端權杖只能允許讀取存放庫內容的動作。

管理用戶端權杖

使用 az acr tokenaz acr scope-map 命令視需要更新用戶端權杖、密碼或範圍對應。 用戶端權杖更新會自動傳播至接受權杖的已連線登錄。

同步權杖

每個已連線登錄都會使用同步權杖向其立即父系進行驗證,這可能是另一個已連線登錄或雲端登錄。 已連線登錄會在與父系同步內容或執行其他更新時,自動使用此權杖。

  • 當您建立已連線登錄資源時,系統會自動產生同步權杖和密碼。 執行 az acr connected-registry install renew-credentials 命令來重新產生密碼。
  • 在用來部署已連線登錄內部部署的組態中納入同步權杖認證。
  • 依預設,同步權杖會獲得將所選存放庫與其父系同步的權限。 您必須提供現有的同步權杖或一或多個存放庫,才能在建立已連線登錄資源時進行同步。
  • 此權杖也有權讀取和寫入閘道上的同步處理訊息,以用來與已連線登錄的父系通訊。 這些訊息會控制同步處理排程,以及管理已連線登錄與其父系之間的其他更新。

管理同步權杖

使用 az acr tokenaz acr scope-map 命令視需要更新同步權杖、密碼或範圍對應。 同步權杖更新會自動傳播至已連線登錄。 更新同步權杖時,請遵循輪替密碼的標準做法。

注意

在刪除與權杖相關聯的已連線登錄之前,無法刪除同步權杖。 您可以將同步權杖的狀態設定為 disabled,以停用已連線登錄。

登錄端點

已連線登錄的權杖認證範圍限定為存取特定登錄端點:

  • 用戶端權杖會存取已連線登錄的端點。 已連線登錄端點是登入伺服器 URI,通常是裝載端點的伺服器或裝置的 IP 位址。

  • 同步權杖會存取父系登錄的端點,也就是另一個已連線登錄端點或雲端登錄本身。 當範圍限定為存取雲端登錄時,同步權杖需要連線至兩個登錄端點:

    • 完整登入伺服器名稱,例如 contoso.azurecr.io。 此端點用於驗證。
    • 用於雲端登錄的完整區域資料端點,例如 contoso.westus2.data.azurecr.io。 此端點用來與已連線登錄交換訊息,以用於同步處理目的。

下一步

請繼續進行下列文章,以瞭解可使用已連線登錄的特定案例。

概觀:已連線登錄和 IoT Edge