Condividi tramite

Disabilitare l’autenticazione come modello di ARM

  • Articolo

I token di Azure AD vengono usati quando gli utenti del Registro di sistema eseguono l'autenticazione con Registro Azure Container. Per impostazione predefinita, Registro Azure Container accetta i token di Azure AD con un ambito di gruppo di destinatari impostato per Azure Resource Manager (ARM), un livello di gestione del piano di controllo per la gestione delle risorse di Azure.

Disabilitando i token del gruppo di destinatari ARM e applicando i token di gruppo di destinatari del Registro Azure Container, è possibile migliorare la sicurezza dei registri contenitori durante il processo di autenticazione restringendo l'ambito dei token accettati.

Con l'imposizione del token del gruppo di destinatari del Registro Azure Container, durante l'autenticazione e il processo di accesso verranno accettati solo i token di Azure AD con ambito di gruppo di destinatari impostato in modo specifico per Registro Azure Container. Ciò significa che i token di gruppo di destinatari ARM accettati in precedenza non saranno più validi per l'autenticazione del Registro di sistema, migliorando così la sicurezza dei registri contenitori.

In questa esercitazione apprenderai a:

  • Disabilitare l’autenticazione come modello di Registro Azure Container - Interfaccia della riga di comando di Azure.
  • Disabilitare l'autenticazione come ARM nell'ACR - Portale di Azure.

Prerequisiti

Disabilitare l'autenticazione come ARM nell'ACR - Interfaccia della riga di comando di Azure

La disabilitazione di azureADAuthenticationAsArmPolicy costringe il Registro di sistema a usare il token del gruppo di destinatari del Registro Azure Container. È possibile utilizzare la versione 2.40.0 dell'interfaccia della riga di comando di Azure. Eseguire az --version per trovare la versione.

  1. Eseguire il comando per visualizzare la configurazione corrente dei criteri del Registro di sistema per l'autenticazione usando i token ARM con il Registro di sistema. Se lo stato è enabled, è possibile usare sia gli ACR che i token del gruppo di destinatari ARM per l'autenticazione. Se lo stato è disabled, significa che solo i token del gruppo di destinatari di ACR possono essere utilizzati per l'autenticazione.

    az acr config authentication-as-arm show -r <registry>

  2. Eseguire il comando per aggiornare lo stato dei criteri del Registro di sistema.

    az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]

Disabilitare l'autenticazione come ARM nell'ACR - Portale di Azure

Disabilitando la proprietà authentication-as-arm tramite l'assegnazione un criterio predefinito procederà a disabilitare automaticamente la proprietà del Registro di sistema per i registri correnti e futuri. Questo comportamento automatico riguarda i registri creati nell'ambito dei criteri. Gli ambiti dei criteri possibili includono l'ambito a livello di gruppo di risorse o l'ambito a livello di ID sottoscrizione all'interno del tenant.

Seguire questa procedura per disabilitare l'autenticazione come ARM nel Registro Azure Container:

  1. Accedere al portale di Azure.

  2. Fare riferimento alle definizioni di criteri predefiniti di Registro Azure Container in azure-container-registry-built-in-policy definition's.

  3. Assegnare un criterio predefinito per disabilitare la definizione di autenticazione come ARM - Portale di Azure.

Assegnare una definizione del criterio predefinita per disabilitare l'autenticazione ARM del token del gruppo di destinatari - Portale di Azure.

È possibile abilitare i Criteri di accesso condizionale del registro nel portale di Azure.

Registro Azure Container include due definizioni di criteri predefinite per disabilitare l'autenticazione come ARM, come illustrato di seguito:

  • Container registries should have ARM audience token authentication disabled.: questo criterio segnala, blocca tutte le risorse non conformi e invia anche una richiesta per il passaggio da non conforme a conforme.

  • Configure container registries to disable ARM audience token authentication.: questo criterio offre correzioni e aggiornamenti non conformi alle risorse conformi.

    1. Accedere al portale di Azure.

    2. Passare alla Registro Azure Container>Gruppo di risorse>Impostazioni>Criteri.

      Screenshot che mostra come passare ai criteri di Azure.

    3. Passare a Criteri di Azure, in Assegnazioni, selezionare Assegna criteri.

      Screenshot che mostra come assegnare un criterio.

    4. In Assegna criteri, usare i filtri per cercare e trovare Ambito, Definizione di criteri, Nome assegnazione.

      Screenshot della scheda Assegna criteri.

    5. Selezionare Ambito per filtrare e cercare Sottoscrizione e Gruppo di risorse, quindi scegliere Seleziona.

      Screenshot della scheda Ambito.

    6. Selezionare Definizione di criteri per filtrare e cercare i criteri predefiniti per i criteri di accesso condizionale.

      Screenshot delle definizioni dei criteri predefinite.

    7. Usare i filtri per selezionare e confermare Ambito, Definizione di criteri e Nome assegnazione.

    8. Usare i filtri per limitare gli stati di conformità o per cercare i criteri.

    9. Confermare le impostazioni e impostare l'imposizione dei criteri come abilitata.

    10. Selezionare Rivedi+Crea.

      Screenshot dell'attivazione di Criteri di accesso condizionale.

Passaggi successivi

Creare e configurare i criteri di accesso condizionale