Povolit důvěryhodným službám zabezpečený přístup k registru kontejneru s omezeným přístupem k síti

Azure Container Registry umožňuje vybrat důvěryhodné služby Azure pro přístup k registru, který je nakonfigurovaný pomocí pravidel přístupu k síti. Pokud jsou důvěryhodné služby povolené, může instance důvěryhodné služby bezpečně obejít síťová pravidla registru a provádět operace, jako jsou vyžádání nebo nabízení imagí. Tento článek vysvětluje, jak povolit a používat důvěryhodné služby s registrem kontejnerů Azure s omezeným přístupem k síti.

Ke spuštění příkladů příkazů v tomto článku použijte Azure Cloud Shell nebo místní instalaci Azure CLI. Pokud ho chcete používat místně, vyžaduje se verze 2.18 nebo novější. Verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.

Omezení

• Určité scénáře přístupu k registru s důvěryhodnými službami vyžadují spravovanou identitu pro prostředky Azure. Pokud není uvedeno, že spravovaná identita přiřazená uživatelem je podporovaná, může být použita pouze identita přiřazená systémem.
• Povolení důvěryhodných služeb se nevztahuje na registr kontejneru nakonfigurovaný s koncovým bodem služby. Tato funkce se týká jenom registrů, které jsou omezené privátním koncovým bodem nebo mají použitá pravidla přístupu k veřejným IP adresám .

Informace o důvěryhodných službách

Azure Container Registry má vícevrstvý model zabezpečení, který podporuje více konfigurací sítě, které omezují přístup k registru, včetně:

• Privátní koncový bod se službou Azure Private Link Při konfiguraci je privátní koncový bod registru přístupný jenom prostředkům ve virtuální síti pomocí privátních IP adres.
• Pravidla brány firewall registru, která umožňují přístup k veřejnému koncovému bodu registru pouze z konkrétních veřejných IP adres nebo rozsahů adres. Bránu firewall můžete také nakonfigurovat tak, aby při používání privátních koncových bodů blokovala veškerý přístup k veřejnému koncovému bodu.

Při nasazení ve virtuální síti nebo s nakonfigurovanými pravidly brány firewall registr odepře přístup uživatelům nebo službám mimo tyto zdroje.

Několik služeb Azure s více tenanty funguje ze sítí, které není možné zahrnout do těchto nastavení sítě registru, a brání jim provádět operace, jako je vyžádání nebo nabízení imagí do registru. Určením určitých instancí služby jako důvěryhodných může vlastník registru povolit vybraným prostředkům Azure bezpečně obejít nastavení sítě registru a provádět operace registru.

Důvěryhodné služby

Instance následujících služeb mají přístup k registru kontejneru s omezeným přístupem k síti, pokud je povolené nastavení důvěryhodných služeb registru (výchozí nastavení). V průběhu času se přidají další služby.

Pokud je to uvedeno, přístup důvěryhodné služby vyžaduje další konfiguraci spravované identity v instanci služby, přiřazení role RBAC a ověřování s registrem. Například postup naleznete v části Pracovní postup Důvěryhodné služby dále v tomto článku.

Důvěryhodná služba	Podporované scénáře použití	Konfigurace spravované identity pomocí role RBAC
Azure Container Instances	Nasazení do služby Azure Container Instances ze služby Azure Container Registry pomocí spravované identity	Ano, identita přiřazená systémem nebo přiřazená uživatelem
Microsoft Defender for Cloud	Kontrola ohrožení zabezpečení v programu Microsoft Defender pro registry kontejnerů	No
Úlohy ACR	Přístup k nadřazenému registru nebo jinému registru z úlohy ACR	Ano
Machine Learning	Nasazení nebo trénování modelu v pracovním prostoru Machine Learning pomocí vlastní image kontejneru Dockeru	Ano
Azure Container Registry	Import imagí do nebo z registru kontejnerů Azure s omezeným přístupem k síti	No

Poznámka:

Povolení nastavení povolit důvěryhodné služby se v současné době nevztahuje na Službu App Service.

Povolit důvěryhodné služby – rozhraní příkazového řádku

Ve výchozím nastavení je povolené nastavení povolit důvěryhodné služby v novém registru kontejneru Azure. Zakažte nebo povolte nastavení spuštěním příkazu az acr update .

Zakázání:

az acr update --name myregistry --allow-trusted-services false

Povolení nastavení v existujícím registru nebo registru, kde je už zakázané:

az acr update --name myregistry --allow-trusted-services true

Povolit důvěryhodné služby – portál

Ve výchozím nastavení je povolené nastavení povolit důvěryhodné služby v novém registru kontejneru Azure.

Zakázání nebo opětovné povolení nastavení na portálu:

1. Na portálu přejděte do registru kontejneru.
2. V části Nastavení vyberte Sítě.
3. V možnosti Povolit přístup k veřejné síti vyberte Vybrané sítě nebo Zakázané.
4. Udělejte jednu z těchto věcí:
   • Pokud chcete zakázat přístup důvěryhodnými službami, zrušte v části Výjimka brány firewall zaškrtnutí políčka Povolit důvěryhodné služby Microsoft přístup k tomuto registru kontejneru.
   • Pokud chcete povolit důvěryhodné služby, zaškrtněte v části Výjimka brány firewall možnost Povolit důvěryhodné služby Microsoft přístup k tomuto registru kontejneru.
5. Zvolte Uložit.

Pracovní postup důvěryhodných služeb

Tady je typický pracovní postup, který umožňuje instanci důvěryhodné služby přistupovat k registru kontejneru s omezeným přístupem k síti. Tento pracovní postup je potřeba v případě, že se spravovaná identita instance služby používá k obejití pravidel sítě registru.

1. Povolte spravovanou identitu v instanci jedné z důvěryhodných služeb pro Azure Container Registry.
2. Přiřaďte k registru identitu roli Azure. Například přiřaďte roli ACRPull pro vyžádání imagí kontejneru.
3. V registru s omezeným přístupem k síti nakonfigurujte nastavení tak, aby povolovalo přístup důvěryhodnými službami.
4. Pomocí přihlašovacích údajů identity se ověřte pomocí registru s omezeným přístupem k síti.
5. Načítá image z registru nebo provádí jiné operace povolené rolí.

Příklad: Úlohy ACR

Následující příklad ukazuje použití ACR Tasks jako důvěryhodné služby. Podrobnosti o úkolu spravovaném v Azure najdete v tématu Ověřování křížového registru v úloze ACR.

1. Vytvořte nebo aktualizujte registr kontejnerů Azure. Vytvořte úlohu ACR.
   • Při vytváření úlohy povolte spravovanou identitu přiřazenou systémem.
   • Zakažte výchozí režim ověřování (--auth-mode None) úkolu.
2. Přiřaďte identitě úlohy roli Azure pro přístup k registru. Například přiřaďte roli AcrPush, která má oprávnění k vyžádání a nasdílení imagí.
3. Přidejte do úlohy přihlašovací údaje spravované identity pro registr .
4. Pokud chcete ověřit, že úloha obchází omezení sítě, zakažte veřejný přístup v registru.
5. Spusťte úlohu. Pokud je registr a úloha správně nakonfigurované, úloha se úspěšně spustí, protože registr umožňuje přístup.

Testování zakázání přístupu důvěryhodnými službami:

1. Zakažte nastavení pro povolení přístupu důvěryhodnými službami.
2. Spusťte úlohu znovu. V tomto případě se spuštění úlohy nezdaří, protože registr již neumožňuje přístup k úloze.

Další kroky

• Pokud chcete omezit přístup k registru pomocí privátního koncového bodu ve virtuální síti, přečtěte si téma Konfigurace služby Azure Private Link pro registr kontejnerů Azure.
• Pokud chcete nastavit pravidla brány firewall registru, přečtěte si téma Konfigurace pravidel veřejné sítě IP adres.