Permitir que serviços confiáveis acessem com segurança um registro de contêiner restrito à rede

O Registro de Contêiner do Azure pode permitir que serviços confiáveis selecionados do Azure acessem um registro configurado com regras de acesso à rede. Quando os serviços confiáveis são permitidos, uma instância de serviço confiável pode ignorar com segurança as regras de rede do Registro e executar operações como imagens pull ou push. Este artigo explica como habilitar e usar serviços confiáveis com um registro de contêiner do Azure restrito à rede.

Use o Azure Cloud Shell ou uma instalação local da CLI do Azure para executar os exemplos de comando neste artigo. Se você quiser usá-lo localmente, a versão 2.18 ou posterior é necessária. Executar az --version para localizar a versão. Se precisar de instalar ou atualizar, veja Install Azure CLI (Instalar o Azure CLI).

Limitações

• Determinados cenários de acesso ao Registro com serviços confiáveis exigem uma identidade gerenciada para recursos do Azure. Exceto quando observado que uma identidade gerenciada atribuída pelo usuário é suportada, apenas uma identidade atribuída ao sistema pode ser usada.
• Permitir serviços confiáveis não se aplica a um registro de contêiner configurado com um ponto de extremidade de serviço. O recurso afeta apenas registros restritos com um ponto de extremidade privado ou que têm regras de acesso IP públicas aplicadas.

Sobre serviços confiáveis

O Registo de Contentores do Azure tem um modelo de segurança em camadas, suportando várias configurações de rede que restringem o acesso a um registo, incluindo:

• Ponto de extremidade privado com o Azure Private Link. Quando configurado, o ponto de extremidade privado de um registro é acessível apenas a recursos dentro da rede virtual, usando endereços IP privados.
• Regras de firewall do Registro, que permitem o acesso ao ponto de extremidade público do Registro somente a partir de endereços IP públicos específicos ou intervalos de endereços. Você também pode configurar o firewall para bloquear todo o acesso ao ponto de extremidade público ao usar pontos de extremidade privados.

Quando implantado em uma rede virtual ou configurado com regras de firewall, um registro nega acesso a usuários ou serviços de fora dessas fontes.

Vários serviços multilocatários do Azure operam a partir de redes que não podem ser incluídas nessas configurações de rede do Registro, impedindo-os de executar operações como pull ou push images para o Registro. Ao designar determinadas instâncias de serviço como "confiáveis", um proprietário do Registro pode permitir que recursos selecionados do Azure ignorem com segurança as configurações de rede do Registro para executar operações do Registro.

Serviços confiáveis

As instâncias dos seguintes serviços podem acessar um registro de contêiner restrito à rede se a configuração permitir serviços confiáveis do Registro estiver habilitada (o padrão). Mais serviços serão adicionados ao longo do tempo.

Quando indicado, o acesso pelo serviço confiável requer configuração adicional de uma identidade gerenciada em uma instância de serviço, atribuição de uma função RBAC e autenticação com o registro. Para obter etapas de exemplo, consulte Fluxo de trabalho de serviços confiáveis, mais adiante neste artigo.

Serviço de confiança	Cenários de utilização suportados	Configurar identidade gerenciada com a função RBAC
Azure Container Instances	Implantar em Instâncias de Contêiner do Azure a partir do Registro de Contêiner do Azure usando uma identidade gerenciada	Sim, identidade atribuída pelo sistema ou pelo usuário
Microsoft Defender para a Cloud	Verificação de vulnerabilidades pelo Microsoft Defender para registros de contêiner	Não
Tarefas ACR	Aceder ao registo principal ou a um registo diferente a partir de uma Tarefa ACR	Sim
Machine Learning	Implantar ou treinar um modelo em um espaço de trabalho do Machine Learning usando uma imagem de contêiner personalizada do Docker	Sim
Registo de Contentores do Azure	Importar imagens de ou para um registro de contêiner do Azure restrito à rede	Não

Nota

Atualmente, habilitar a configuração permitir serviços confiáveis não se aplica ao Serviço de Aplicativo.

Permitir serviços confiáveis - CLI

Por padrão, a configuração permitir serviços confiáveis é habilitada em um novo registro de contêiner do Azure. Desative ou habilite a configuração executando o comando az acr update .

Para desativar:

az acr update --name myregistry --allow-trusted-services false

Para habilitar a configuração em um registro existente ou em um registro onde ele já está desabilitado:

az acr update --name myregistry --allow-trusted-services true

Permitir serviços confiáveis - portal

Por padrão, a configuração permitir serviços confiáveis é habilitada em um novo registro de contêiner do Azure.

Para desativar ou reativar a configuração no portal:

1. No portal, navegue até o registro do contêiner.
2. Em Configurações, selecione Rede.
3. Em Permitir acesso à rede pública, selecione Redes selecionadas ou Desabilitadas.
4. Proceda de uma das seguintes formas:
   • Para desativar o acesso por serviços confiáveis, em Exceção de firewall, desmarque Permitir que serviços confiáveis da Microsoft acessem este registro de contêiner.
   • Para permitir serviços confiáveis, em Exceção de firewall, marque Permitir que serviços confiáveis da Microsoft acessem este registro de contêiner.
5. Selecione Guardar.

Fluxo de trabalho de serviços confiáveis

Aqui está um fluxo de trabalho típico para permitir que uma instância de um serviço confiável acesse um registro de contêiner restrito à rede. Esse fluxo de trabalho é necessário quando a identidade gerenciada de uma instância de serviço é usada para ignorar as regras de rede do Registro.

1. Habilite uma identidade gerenciada em uma instância de um dos serviços confiáveis para o Registro de Contêiner do Azure.
2. Atribua a identidade de uma função do Azure ao seu Registro. Por exemplo, atribua a função ACRPull para extrair imagens de contêiner.
3. No registro restrito à rede, defina a configuração para permitir o acesso por serviços confiáveis.
4. Use as credenciais da identidade para autenticar com o registro restrito à rede.
5. Extraia imagens do registro ou execute outras operações permitidas pela função.

Exemplo: Tarefas ACR

O exemplo a seguir demonstra o uso de tarefas ACR como um serviço confiável. Consulte Autenticação entre registros em uma tarefa ACR usando uma identidade gerenciada pelo Azure para obter detalhes da tarefa.

1. Crie ou atualize um registro de contêiner do Azure. Crie uma tarefa ACR.
   • Habilite uma identidade gerenciada atribuída ao sistema ao criar a tarefa.
   • Desative o modo de autenticação padrão (--auth-mode None) da tarefa.
2. Atribua a identidade da tarefa a uma função do Azure para acessar o Registro. Por exemplo, atribua a função AcrPush, que tem permissões para extrair e enviar imagens.
3. Adicione credenciais de identidade gerenciadas para o registro à tarefa.
4. Para confirmar se a tarefa ignora as restrições de rede, desative o acesso público no Registro.
5. Execute a tarefa. Se o registro e a tarefa estiverem configurados corretamente, a tarefa será executada com êxito, porque o registro permite acesso.

Para testar a desativação do acesso por serviços confiáveis:

1. Desative a configuração para permitir o acesso por serviços confiáveis.
2. Execute a tarefa novamente. Nesse caso, a execução da tarefa falha, porque o registro não permite mais o acesso pela tarefa.

Próximos passos

• Para restringir o acesso a um registro usando um ponto de extremidade privado em uma rede virtual, consulte Configurar o Azure Private Link para um registro de contêiner do Azure.
• Para configurar regras de firewall do Registro, consulte Configurar regras de rede IP pública.