Sdílet prostřednictvím


Zakázání ověřování jako šablony ARM

Tokeny Azure AD se používají při ověřování uživatelů registru pomocí ACR. Azure Container Registry (ACR) ve výchozím nastavení přijímá tokeny Azure AD s nastaveným oborem cílové skupiny pro Azure Resource Manager (ARM), vrstvou správy řídicí roviny pro správu prostředků Azure.

Zakázáním tokenů cílové skupiny ARM a vynucováním tokenů cílové skupiny ACR můžete zvýšit zabezpečení registrů kontejnerů během procesu ověřování tím, že zpřesníte rozsah přijatých tokenů.

Při vynucování tokenu cílové skupiny ACR se během ověřování registru a přihlašování přijmou pouze tokeny Azure AD s oborem cílové skupiny, které jsou pro ACR speciálně nastavené. To znamená, že dříve přijaté tokeny cílové skupiny ARM už nebudou platné pro ověřování registru, čímž se zvýší zabezpečení vašich registrů kontejnerů.

V tomto kurzu se naučíte:

  • Zakažte ověřování jako arm v ACR – Azure CLI.
  • Zakažte ověřování jako arm v ACR – Azure Portal.

Požadavky

Zakázání ověřování jako arm v ACR – Azure CLI

Zakázáním azureADAuthenticationAsArmPolicy se vynutíte, aby registr používal token cílové skupiny ACR. Ke zjištění verze můžete použít Azure CLI verze 2.40.0 nebo novější az --version .

  1. Spuštěním příkazu zobrazte aktuální konfiguraci zásad registru pro ověřování pomocí tokenů ARM s registrem. Pokud je enabledstav , dají se k ověřování použít jak ACL, tak tokeny cílové skupiny ARM. Pokud je disabled stav, znamená to, že k ověřování se dají použít jenom tokeny cílové skupiny ACR.

    az acr config authentication-as-arm show -r <registry>
    
  2. Spuštěním příkazu aktualizujte stav zásad registru.

    az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]
    

Zakázání ověřování jako arm v ACR – Azure Portal

Zakázání authentication-as-arm vlastnosti přiřazením předdefinované zásady automaticky zakáže vlastnost registru pro aktuální a budoucí registry. Toto automatické chování platí pro registry vytvořené v rámci oboru zásad. Možné obory zásad zahrnují rozsah na úrovni skupiny prostředků nebo obor úrovně ID předplatného v rámci tenanta.

Ověřování jako arm v ACR můžete zakázat pomocí následujícího postupu:

  1. Přihlaste se k portálu Azure.

  2. Projděte si předdefinované definice zásad ACR v definici azure-container-registry-built-in-policy.

  3. Přiřaďte předdefinované zásady, které zakáže definici ověřování jako arm – Azure Portal.

Přiřaďte integrovanou definici zásad, která zakáže ověřování tokenů cílové skupiny ARM – Azure Portal.

Zásady podmíněného přístupu registru můžete povolit na webu Azure Portal.

Azure Container Registry má dvě předdefinované definice zásad, které umožňují zakázat ověřování jako arm, jak je znázorněno níže:

  • Container registries should have ARM audience token authentication disabled. – Tato zásada bude hlásit, blokovat všechny nekompatibilní prostředky a také odešle žádost o aktualizaci nevyhovující předpisům.

  • Configure container registries to disable ARM audience token authentication. – Tato zásada nabízí nápravu a aktualizuje nevyhovující prostředkům.

    1. Přihlaste se k portálu Azure.

    2. Přejděte do zásad nastavení>skupiny>prostředků služby Azure Container Registry.>

      Snímek obrazovky znázorňující navigaci v zásadách Azure

    3. Přejděte do Služby Azure Policy a v části Přiřazení vyberte Přiřadit zásadu.

      Snímek obrazovky znázorňující, jak přiřadit zásadu

    4. V části Přiřadit zásadu použijte filtry k vyhledání a vyhledání oboru, definice zásady, názvu přiřazení.

      Snímek obrazovky s kartou přiřadit zásadu

    5. Vyberte Obor, ve které chcete filtrovat a hledat předplatné a skupinu prostředků, a zvolte Vybrat.

      Snímek obrazovky s kartou Obor

    6. Výběrem definice zásady můžete filtrovat a prohledávat předdefinované definice zásad podmíněného přístupu.

      Snímek obrazovky s integrovanými definicemi zásad

    7. Filtry slouží k výběru a potvrzení oboru, definice zásady a názvu přiřazení.

    8. Pomocí filtrů omezte stavy dodržování předpisů nebo vyhledejte zásady.

    9. Potvrďte nastavení a nastavte vynucení zásad jako povolené.

    10. Vyberte Zkontrolovat a vytvořit.

      Snímek obrazovky pro aktivaci zásad podmíněného přístupu

Další kroky