다음을 통해 공유

ARM 템플릿으로 인증 사용 안 함

  • 아티클

Azure AD 토큰은 레지스트리 사용자가 ACR로 인증할 때 사용됩니다. 기본적으로 ACR(Azure Container Registry)은 Azure 리소스 관리를 위한 컨트롤 플레인 관리 계층인 ARM(Azure Resource Manager)에 대한 대상 그룹 범위가 설정된 Azure AD 토큰을 허용합니다.

ARM 대상 토큰을 사용하지 않도록 설정하고 ACR 대상 토큰을 적용하면 수락되는 토큰의 범위를 좁혀 인증 프로세스 중에 컨테이너 레지스트리의 보안을 강화할 수 있습니다.

ACR 대상 그룹 토큰 적용을 사용하면 ACR에 대해 특별히 설정된 대상 그룹 범위가 있는 Azure AD 토큰만 레지스트리 인증 및 로그인 프로세스 중에 수락됩니다. 즉, 이전에 승인된 ARM 대상 토큰은 더 이상 레지스트리 인증에 유효하지 않으므로 컨테이너 레지스트리의 보안이 향상됩니다.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • ACR - Azure CLI에서 arm으로 인증을 사용하지 않도록 설정합니다.
  • ACR - Azure Portal에서 arm으로 인증을 사용하지 않도록 설정합니다.

필수 조건

ACR - Azure CLI에서 arm으로 인증을 사용하지 않도록 설정합니다.

azureADAuthenticationAsArmPolicy을(를) 사용하지 않도록 설정하면 레지스트리가 ACR 대상 토큰을 사용하도록 강제 적용됩니다. Azure CLI 버전 2.40.0 이상을 사용할 수 있습니다. az --version을(를) 실행하여 버전을 찾습니다.

  1. 명령을 실행하여 레지스트리와 함께 ARM 토큰을 사용하는 인증에 대한 레지스트리 정책의 현재 구성을 표시합니다. 상태가 enabled이면 ACR 및 ARM 대상 토큰을 모두 인증에 사용할 수 있습니다. 상태가 disabled이면 ACR의 대상 토큰만 인증에 사용할 수 있습니다.

    az acr config authentication-as-arm show -r <registry>

  2. 명령을 실행하여 레지스트리 정책의 상태를 업데이트합니다.

    az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]

ACR - Azure Portal에서 arm으로 인증을 사용하지 않도록 설정

기본 제공 정책을 할당하여 authentication-as-arm 속성을 사용하지 않도록 설정하면 현재 및 향후 레지스트리에 대한 레지스트리 속성이 자동으로 비활성화됩니다. 이 자동 동작은 정책 범위 내에서 만든 레지스트리에 대한 것입니다. 가능한 정책 범위에는 리소스 그룹 수준 범위 또는 테넌트 내의 구독 ID 수준 범위가 포함됩니다.

아래 단계에 따라 ACR에서 arm으로 인증을 사용하지 않도록 설정할 수 있습니다.

  1. Azure Portal에 로그인합니다.

  2. azure-container-registry-built-in-policy 정의에서 ACR의 기본 제공 정책 정의를 참조하세요.

  3. 기본 제공 정책을 할당하여 arm으로 인증 정의를 사용하지 않도록 설정 - Azure Portal.

기본 제공 정책 정의를 할당하여 ARM 대상 그룹 토큰 인증을 사용하지 않도록 설정 - Azure Portal.

Azure Portal에서 레지스트리의 조건부 액세스 정책을 사용하도록 설정할 수 있습니다.

Azure Container Registry에는 아래와 같이 arm으로 인증을 사용하지 않도록 설정하는 두 가지 기본 제공 정책 정의가 있습니다.

  • Container registries should have ARM audience token authentication disabled. - 이 정책은 비준수 리소스를 보고하고 차단하며 비준수 리소스를 준수하도록 업데이트하는 요청도 보냅니다.

  • Configure container registries to disable ARM audience token authentication. - 이 정책은 수정을 제공하고 비준수 리소스를 업데이트합니다.

    1. Azure Portal에 로그인합니다.

    2. Azure Container Registry>리소스 그룹>설정>정책으로 이동합니다.

      Azure 정책을 탐색하는 방법을 보여 주는 스크린샷

    3. Azure Policy로 이동하여 할당에서 정책 할당을 선택합니다.

      정책을 할당하는 방법을 보여 주는 스크린샷

    4. 할당 정책 아래에서 필터를 사용하여 범위, 정책 정의, 할당 이름을 검색하고 찾습니다.

      정책 할당 탭의 스크린샷

    5. 범위를 선택하여 구독리소스 그룹을 필터링하고 검색한 뒤 선택을 선택합니다.

      범위 탭의 스크린샷

    6. 정책 정의를 선택하여 조건부 액세스 정책에 대한 기본 제공 정책 정의를 필터링하고 검색합니다.

      기본 제공 정책 정의의 스크린샷

    7. 필터를 사용하여 범위, 정책 정의할당 이름을 선택하고 확인합니다.

    8. 필터를 사용하여 준수 상태를 제한하거나 정책을 검색합니다.

    9. 설정을 확인하고 정책 적용을 사용하도록 설정합니다.

    10. 검토+만들기를 선택합니다.

      조건부 액세스 정책을 활성화하는 스크린샷

다음 단계

조건부 액세스 정책 만들기 및 구성