Zakázání ověřování jako šablony ARM
Tokeny Azure AD se používají při ověřování uživatelů registru pomocí ACR. Azure Container Registry (ACR) ve výchozím nastavení přijímá tokeny Azure AD s nastaveným oborem cílové skupiny pro Azure Resource Manager (ARM), vrstvou správy řídicí roviny pro správu prostředků Azure.
Zakázáním tokenů cílové skupiny ARM a vynucováním tokenů cílové skupiny ACR můžete zvýšit zabezpečení registrů kontejnerů během procesu ověřování tím, že zpřesníte rozsah přijatých tokenů.
Při vynucování tokenu cílové skupiny ACR se během ověřování registru a přihlašování přijmou pouze tokeny Azure AD s oborem cílové skupiny, které jsou pro ACR speciálně nastavené. To znamená, že dříve přijaté tokeny cílové skupiny ARM už nebudou platné pro ověřování registru, čímž se zvýší zabezpečení vašich registrů kontejnerů.
V tomto kurzu se naučíte:
- Zakažte ověřování jako arm v ACR – Azure CLI.
- Zakažte ověřování jako arm v ACR – Azure Portal.
Požadavky
- Nainstalujte nebo upgradujte Azure CLI verze 2.40.0 nebo novější. Verzi zjistíte spuštěním příkazu
az --version
. - Přihlaste se k portálu Azure.
Zakázání ověřování jako arm v ACR – Azure CLI
Zakázáním azureADAuthenticationAsArmPolicy
se vynutíte, aby registr používal token cílové skupiny ACR. Ke zjištění verze můžete použít Azure CLI verze 2.40.0 nebo novější az --version
.
Spuštěním příkazu zobrazte aktuální konfiguraci zásad registru pro ověřování pomocí tokenů ARM s registrem. Pokud je
enabled
stav , dají se k ověřování použít jak ACL, tak tokeny cílové skupiny ARM. Pokud jedisabled
stav, znamená to, že k ověřování se dají použít jenom tokeny cílové skupiny ACR.az acr config authentication-as-arm show -r <registry>
Spuštěním příkazu aktualizujte stav zásad registru.
az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]
Zakázání ověřování jako arm v ACR – Azure Portal
Zakázání authentication-as-arm
vlastnosti přiřazením předdefinované zásady automaticky zakáže vlastnost registru pro aktuální a budoucí registry. Toto automatické chování platí pro registry vytvořené v rámci oboru zásad. Možné obory zásad zahrnují rozsah na úrovni skupiny prostředků nebo obor úrovně ID předplatného v rámci tenanta.
Ověřování jako arm v ACR můžete zakázat pomocí následujícího postupu:
Přihlaste se k portálu Azure.
Projděte si předdefinované definice zásad ACR v definici azure-container-registry-built-in-policy.
Přiřaďte předdefinované zásady, které zakáže definici ověřování jako arm – Azure Portal.
Přiřaďte integrovanou definici zásad, která zakáže ověřování tokenů cílové skupiny ARM – Azure Portal.
Zásady podmíněného přístupu registru můžete povolit na webu Azure Portal.
Azure Container Registry má dvě předdefinované definice zásad, které umožňují zakázat ověřování jako arm, jak je znázorněno níže:
Container registries should have ARM audience token authentication disabled.
– Tato zásada bude hlásit, blokovat všechny nekompatibilní prostředky a také odešle žádost o aktualizaci nevyhovující předpisům.Configure container registries to disable ARM audience token authentication.
– Tato zásada nabízí nápravu a aktualizuje nevyhovující prostředkům.Přihlaste se k portálu Azure.
Přejděte do zásad nastavení>skupiny>prostředků služby Azure Container Registry.>
Přejděte do Služby Azure Policy a v části Přiřazení vyberte Přiřadit zásadu.
V části Přiřadit zásadu použijte filtry k vyhledání a vyhledání oboru, definice zásady, názvu přiřazení.
Vyberte Obor, ve které chcete filtrovat a hledat předplatné a skupinu prostředků, a zvolte Vybrat.
Výběrem definice zásady můžete filtrovat a prohledávat předdefinované definice zásad podmíněného přístupu.
Filtry slouží k výběru a potvrzení oboru, definice zásady a názvu přiřazení.
Pomocí filtrů omezte stavy dodržování předpisů nebo vyhledejte zásady.
Potvrďte nastavení a nastavte vynucení zásad jako povolené.
Vyberte Zkontrolovat a vytvořit.