Wyłączanie uwierzytelniania jako szablonu usługi ARM
Tokeny usługi Azure AD są używane podczas uwierzytelniania użytkowników rejestru za pomocą usługi ACR. Domyślnie usługa Azure Container Registry (ACR) akceptuje tokeny usługi Azure AD z zakresem odbiorców ustawionym dla usługi Azure Resource Manager (ARM), warstwy zarządzania płaszczyzną sterowania na potrzeby zarządzania zasobami platformy Azure.
Wyłączając tokeny odbiorców usługi ARM i wymuszając tokeny odbiorców usługi ACR, można zwiększyć bezpieczeństwo rejestrów kontenerów podczas procesu uwierzytelniania, zawężając zakres akceptowanych tokenów.
W przypadku wymuszania tokenu odbiorców usługi ACR tylko tokeny usługi Azure AD z zakresem odbiorców ustawionym specjalnie dla usługi ACR będą akceptowane podczas uwierzytelniania rejestru i procesu logowania. Oznacza to, że wcześniej zaakceptowane tokeny odbiorców usługi ARM nie będą już prawidłowe w przypadku uwierzytelniania rejestru, co zwiększa bezpieczeństwo rejestrów kontenerów.
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
- Wyłącz uwierzytelnianie jako ramię w usłudze ACR — interfejs wiersza polecenia platformy Azure.
- Wyłącz uwierzytelnianie jako ramię w usłudze ACR — Azure Portal.
Wymagania wstępne
- Zainstaluj lub uaktualnij interfejs wiersza polecenia platformy Azure w wersji 2.40.0 lub nowszej. Aby dowiedzieć się, jaka wersja jest używana, uruchom polecenie
az --version
. - Zaloguj się w witrynie Azure Portal.
Wyłączanie uwierzytelniania jako ramienia w usłudze ACR — interfejs wiersza polecenia platformy Azure
azureADAuthenticationAsArmPolicy
Wyłączenie spowoduje wymusie użycie tokenu odbiorców usługi ACR w rejestrze. Aby znaleźć wersję, az --version
możesz użyć interfejsu wiersza polecenia platformy Azure w wersji 2.40.0 lub nowszej.
Uruchom polecenie , aby wyświetlić bieżącą konfigurację zasad rejestru na potrzeby uwierzytelniania przy użyciu tokenów usługi ARM z rejestrem. Jeśli stan to
enabled
, można użyć zarówno tokenów kontroli dostępu, jak i tokenów odbiorców usługi ARM do uwierzytelniania. Jeśli stan todisabled
oznacza, że do uwierzytelniania mogą być używane tylko tokeny odbiorców usługi ACR.az acr config authentication-as-arm show -r <registry>
Uruchom polecenie , aby zaktualizować stan zasad rejestru.
az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]
Wyłączanie uwierzytelniania jako ramienia w usłudze ACR — Azure Portal
authentication-as-arm
Wyłączenie właściwości przez przypisanie wbudowanych zasad spowoduje automatyczne wyłączenie właściwości rejestru dla bieżących i przyszłych rejestrów. To automatyczne zachowanie dotyczy rejestrów utworzonych w zakresie zasad. Możliwe zakresy zasad obejmują zakres na poziomie grupy zasobów lub zakres poziomu identyfikatora subskrypcji w dzierżawie.
Możesz wyłączyć uwierzytelnianie jako ramię w usłudze ACR, wykonując poniższe kroki:
Zaloguj się w witrynie Azure Portal.
Zapoznaj się z wbudowanymi definicjami zasad usługi ACR w definicji azure-container-registry-built-policy.
Przypisz wbudowane zasady, aby wyłączyć definicję uwierzytelniania jako arm — Azure Portal.
Przypisz wbudowaną definicję zasad, aby wyłączyć uwierzytelnianie tokenu odbiorców usługi ARM — Azure Portal.
Zasady dostępu warunkowego rejestru można włączyć w witrynie Azure Portal.
Usługa Azure Container Registry ma dwie wbudowane definicje zasad, aby wyłączyć uwierzytelnianie jako ramię, jak pokazano poniżej:
Container registries should have ARM audience token authentication disabled.
— Te zasady będą raportować, blokować wszelkie niezgodne zasoby, a także wysyłać żądanie aktualizacji niezgodnej ze zgodnością.Configure container registries to disable ARM audience token authentication.
— Te zasady oferują korygowanie i aktualizacje niezgodne ze zgodnymi zasobami.Zaloguj się w witrynie Azure Portal.
Przejdź do zasad grupy>> zasobów usługi Azure Container Registry.>
Przejdź do usługi Azure Policy w obszarze Przypisania wybierz pozycję Przypisz zasady.
W obszarze Przypisz zasady użyj filtrów, aby wyszukać zakres, definicję zasad, nazwę przypisania.
Wybierz pozycję Zakres , aby filtrować i wyszukiwać pozycje Subskrypcja i Grupa zasobów , a następnie wybierz pozycję Wybierz.
Wybierz pozycję Definicja zasad, aby filtrować i przeszukiwać wbudowane definicje zasad dla zasad dostępu warunkowego.
Użyj filtrów, aby wybrać i potwierdzić zakres, definicję zasad i nazwę przypisania.
Użyj filtrów, aby ograniczyć stany zgodności lub wyszukać zasady.
Potwierdź ustawienia i ustaw wymuszanie zasad zgodnie z włączeniem.
Wybierz pozycję Przeglądanie+tworzenie.