Sdílet prostřednictvím


Role a oprávnění služby Azure Container Registry

Služba Azure Container Registry podporuje sadu předdefinovaných rolí Azure, které poskytují různé úrovně oprávnění pro registr kontejnerů Azure. Pomocí řízení přístupu na základě role v Azure (Azure RBAC) přiřaďte uživatelům, instančním objektům nebo jiným identitám, které potřebují interakci s registrem, například pro vyžádání nebo nabízení imagí kontejneru. Můžete také definovat vlastní role s jemně odstupňovanými oprávněními k registru pro různé operace.

Role/oprávnění Přístup k Resource Manageru Vytvoření nebo odstranění registru Nasdílení změn image Obrázek vyžádané replikace Odstranění dat obrázku Změna zásad Podepsat obrázky
Vlastník X X X X X X
Přispěvatel X X X X X X
Čtenář X X
AcrPush X X
AcrPull X
AcrDelete X
AcrImageSigner X

Přiřazení rolí

Postup přidání přiřazení role pro kroky vysoké úrovně pro přidání přiřazení role k existujícímu uživateli, skupině, instančnímu objektu nebo spravované identitě Můžete použít Azure Portal, Azure CLI, Azure PowerShell nebo jiné nástroje Azure.

Při vytváření instančního objektu také nakonfigurujete jeho přístup a oprávnění k prostředkům Azure, jako je registr kontejneru. Ukázkový skript pomocí Azure CLI najdete v tématu Ověřování pomocí služby Azure Container Registry s instančními objekty.

Rozlišení uživatelů a služeb

Kdykoli se použijí oprávnění, osvědčeným postupem je poskytnout nejvíce omezenou sadu oprávnění pro určitou osobu nebo službu k provedení úkolu. Následující sady oprávnění představují sadu funkcí, které mohou používat lidé a bezobslužné služby.

Řešení CI/CD

Při automatizaci docker build příkazů z řešení CI/CD potřebujete docker push funkce. Pro tyto bezobslužné scénáře služeb doporučujeme přiřadit roli AcrPush . Tato role na rozdíl od širší role přispěvatele brání účtu provádět jiné operace registru nebo přistupovat k Azure Resource Manageru.

Uzly hostitele kontejneru

Podobně uzly, na kterých běží kontejnery, potřebují roli AcrPull , ale neměly by vyžadovat funkce čtenáře .

Rozšíření Docker pro Visual Studio Code

Pro nástroje, jako je rozšíření Visual Studio Code Docker, se k výpisu dostupných registrů kontejnerů Azure vyžaduje další přístup zprostředkovatele prostředků. V takovém případě poskytněte uživatelům přístup k roli Čtenář nebo Přispěvatel . Tyto role umožňují docker pull, , az acr listdocker push, az acr builda další funkce.

Přístup k Resource Manageru

Přístup k Azure Resource Manageru se vyžaduje pro správu webu Azure Portal a registru pomocí Azure CLI. Pokud chcete například pomocí příkazu získat seznam registrů az acr list , potřebujete tuto sadu oprávnění.

Vytvoření a odstranění registru

Možnost vytvářet a odstraňovat registry kontejnerů Azure.

Nasdílení změn image

Schopnost image docker push nebo nasdílení jiného podporovaného artefaktu , jako je chart Helm, do registru. Vyžaduje ověření s registrem pomocí autorizované identity.

Obrázek vyžádané replikace

Možnost umístit image mimo karanténu nebo vyžádat docker pull z registru jiný podporovaný artefakt , jako je chart Helm. Vyžaduje ověření s registrem pomocí autorizované identity.

Odstranění dat obrázku

Možnost odstranit image kontejnerů nebo odstranit další podporované artefakty , jako jsou grafy Helm, z registru.

Změna zásad

Možnost konfigurovat zásady v registru. Mezi zásady patří vyprázdnění imagí, povolení karantény a podepisování obrázků.

Podepsat obrázky

Možnost podepsat obrázky, obvykle přiřazené k automatizovanému procesu, který by používal instanční objekt. Toto oprávnění se obvykle kombinuje s nabízenou imagí , která umožňuje nasdílení důvěryhodné image do registru. Podrobnosti najdete v tématu Důvěryhodnost obsahu ve službě Azure Container Registry.

Vlastní role

Stejně jako u jiných prostředků Azure můžete vytvářet vlastní role s jemně odstupňovanými oprávněními ke službě Azure Container Registry. Potom přiřaďte vlastní role uživatelům, instančním objektům nebo jiným identitám, které potřebují pracovat s registrem.

Pokud chcete zjistit, která oprávnění se mají použít pro vlastní roli, podívejte se na seznam akcí Microsoft.ContainerRegistry, zkontrolujte povolené akce předdefinovaných rolí ACR nebo spusťte následující příkaz:

az provider operation show --namespace Microsoft.ContainerRegistry

Pokud chcete definovat vlastní roli, přečtěte si postup vytvoření vlastní role.

Poznámka:

V tenantech nakonfigurovaných s privátním propojením Azure Resource Manageru podporuje Služba Azure Container Registry akce se zástupnými činy, jako Microsoft.ContainerRegistry/*/read jsou nebo Microsoft.ContainerRegistry/registries/*/write ve vlastních rolích, a tím uděluje přístup ke všem odpovídajícím akcím. V tenantovi bez privátního propojení ARM zadejte všechny požadované akce registru jednotlivě ve vlastní roli.

Příklad: Vlastní role pro import imagí

Následující JSON například definuje minimální akce pro vlastní roli, která umožňuje import imagí do registru.

{
   "assignableScopes": [
     "/subscriptions/<optional, but you can limit the visibility to one or more subscriptions>"
   ],
   "description": "Can import images to registry",
   "Name": "AcrImport",
   "permissions": [
     {
       "actions": [
         "Microsoft.ContainerRegistry/registries/push/write",
         "Microsoft.ContainerRegistry/registries/pull/read",
         "Microsoft.ContainerRegistry/registries/read",
         "Microsoft.ContainerRegistry/registries/importImage/action"
       ],
       "dataActions": [],
       "notActions": [],
       "notDataActions": []
     }
   ],
   "roleType": "CustomRole"
 }

Pokud chcete vytvořit nebo aktualizovat vlastní roli pomocí popisu JSON, použijte Azure CLI, šablonu Azure Resource Manageru, Azure PowerShell nebo jiné nástroje Azure. Přidání nebo odebrání přiřazení rolí pro vlastní roli stejným způsobem, jakým spravujete přiřazení rolí pro předdefinované role Azure.

Další kroky

  • Přečtěte si další informace o přiřazování rolí Azure k identitě Azure pomocí webu Azure Portal, Azure CLI, Azure PowerShellu nebo jiných nástrojů Azure.

  • Seznamte se s možnostmi ověřování pro Azure Container Registry.

  • Přečtěte si o povolení oprávnění vymezených úložištěm v registru kontejneru.