Partilhar via

Desativar a autenticação como modelo ARM

  • Artigo

Os Tokens do Azure AD são usados quando os usuários do Registro se autenticam com o ACR. Por padrão, o Azure Container Registry (ACR) aceita Tokens do Azure AD com um escopo de audiência definido para o Azure Resource Manager (ARM), uma camada de gerenciamento de plano de controle para gerenciar recursos do Azure.

Ao desativar os Tokens de Audiência ARM e aplicar os Tokens de Audiência ACR, você pode melhorar a segurança de seus registros de contêiner durante o processo de autenticação, restringindo o escopo dos tokens aceitos.

Com a imposição do Token de Audiência do ACR, somente os Tokens do Azure AD com um escopo de audiência especificamente definido para ACR serão aceitos durante o processo de autenticação e entrada do Registro. Isso significa que os ARM Audience Tokens aceitos anteriormente não serão mais válidos para autenticação de registro, aumentando assim a segurança de seus registros de contêiner.

Neste tutorial, irá aprender a:

  • Desabilite a autenticação como braço no ACR - CLI do Azure.
  • Desative a autenticação como braço no ACR - portal do Azure.

Pré-requisitos

Desabilitar a autenticação como braço no ACR - Azure CLI

A desativação azureADAuthenticationAsArmPolicy forçará o registro a usar o token de audiência ACR. Você pode usar a CLI do Azure versão 2.40.0 ou posterior, executar az --version para localizar a versão.

  1. Execute o comando para mostrar a configuração atual da diretiva do Registro para autenticação usando tokens ARM com o Registro. Se o status for enabled, então ACRs e tokens de audiência ARM podem ser usados para autenticação. Se o status for disabled significa que apenas os tokens de audiência do ACR podem ser usados para autenticação.

    az acr config authentication-as-arm show -r <registry>

  2. Execute o comando para atualizar o status da diretiva do Registro.

    az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]

Desabilitar a autenticação como braço no ACR - portal do Azure

A desativação da authentication-as-arm propriedade atribuindo uma política interna desabilitará automaticamente a propriedade do Registro para os registros atuais e futuros. Esse comportamento automático é para registros criados dentro do escopo da política. Os escopos de política possíveis incluem o escopo de nível de Grupo de Recursos ou o escopo de nível de ID de Assinatura dentro do locatário.

Você pode desativar a autenticação como braço no ACR, seguindo as etapas abaixo:

  1. Inicie sessão no portal do Azure.

  2. Consulte as definições de política internas do ACR na definição azure-container-registry-built-in-policy.

  3. Atribua uma política interna para desabilitar a definição de autenticação como braço - portal do Azure.

Atribua uma definição de política interna para desabilitar a autenticação de token de audiência ARM - portal do Azure.

Você pode habilitar a política de Acesso Condicional do Registro no portal do Azure.

O Registro de Contêiner do Azure tem duas definições de política internas para desabilitar a autenticação como braço, conforme abaixo:

  • Container registries should have ARM audience token authentication disabled. - Esta política irá relatar, bloquear quaisquer recursos não conformes e também envia uma solicitação para atualizar não conformidade para conformidade.

  • Configure container registries to disable ARM audience token authentication. - Esta política oferece correção e atualizações não compatíveis com recursos compatíveis.

    1. Inicie sessão no portal do Azure.

    2. Navegue até as Políticas de Configurações>do Grupo>de Recursos do Registro>do Contêiner do Azure .

      Captura de ecrã a mostrar como navegar pelas políticas do Azure.

    3. Navegue até Política do Azure, Em Atribuições, selecione Atribuir política.

      Captura de ecrã a mostrar como atribuir uma política.

    4. Em Atribuir política , use filtros para pesquisar e localizar o Escopo, Definição de política, Nome da atribuição.

      Captura de ecrã do separador atribuir política.

    5. Selecione Escopo para filtrar e pesquisar a Assinatura e o Grupo de Recursos e escolha Selecionar.

      Captura de ecrã do separador Âmbito.

    6. Selecione Definição de política para filtrar e pesquisar as definições de política internas para a política de Acesso Condicional.

      Captura de ecrã de definições de política incorporadas.

    7. Use filtros para selecionar e confirmar Escopo, Definição de política e Nome da atribuição.

    8. Use os filtros para limitar os estados de conformidade ou para pesquisar políticas.

    9. Confirme suas configurações e defina a aplicação da política como habilitada.

    10. Selecione Revisão+Criar.

      Captura de ecrã para ativar uma política de Acesso Condicional.

Próximos passos

Criar e configurar uma política de Acesso Condicional