Dela via

Inaktivera autentisering som ARM-mall

  • Artikel

Azure AD-token används när registeranvändare autentiserar med ACR. Som standard accepterar Azure Container Registry (ACR) Azure AD-token med en målgruppsomfångsuppsättning för Azure Resource Manager (ARM), ett kontrollplanshanteringslager för hantering av Azure-resurser.

Genom att inaktivera ARM-målgruppstoken och framtvinga ACR-målgruppstoken kan du förbättra säkerheten för dina containerregister under autentiseringsprocessen genom att begränsa omfattningen för godkända token.

Med tillämpning av ACR-målgruppstoken godkänns endast Azure AD-token med ett målgruppsomfång som är specifikt inställt för ACR under registreringsprocessen för autentisering och inloggning. Det innebär att de tidigare godkända ARM-målgruppstoken inte längre är giltiga för registerautentisering, vilket förbättrar säkerheten för dina containerregister.

I den här självstudien lär du dig att:

  • Inaktivera autentisering som arm i ACR – Azure CLI.
  • Inaktivera autentisering som arm i ACR - Azure Portal.

Förutsättningar

Inaktivera autentisering som arm i ACR – Azure CLI

Inaktivering azureADAuthenticationAsArmPolicy tvingar registret att använda ACR-målgruppstoken. Du kan använda Azure CLI version 2.40.0 eller senare och köra az --version för att hitta versionen.

  1. Kör kommandot för att visa den aktuella konfigurationen av registrets princip för autentisering med hjälp av ARM-token med registret. Om statusen är enabledkan både ACR:er och ARM-målgruppstoken användas för autentisering. Om statusen är disabled innebär det att endast ACR:s målgruppstoken kan användas för autentisering.

    az acr config authentication-as-arm show -r <registry>

  2. Kör kommandot för att uppdatera statusen för registrets princip.

    az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]

Inaktivera autentisering som arm i ACR – Azure Portal

Om du inaktiverar authentication-as-arm egenskapen genom att tilldela en inbyggd princip inaktiveras registeregenskapen automatiskt för aktuella och framtida register. Det här automatiska beteendet gäller för register som skapats inom principomfånget. De möjliga principomfattningarna omfattar antingen omfång på resursgruppsnivå eller prenumerations-ID-nivåomfång i klientorganisationen.

Du kan inaktivera autentisering som arm i ACR genom att följa stegen nedan:

  1. Logga in på Azure-portalen.

  2. Se ACR:s inbyggda principdefinitioner i definitionen azure-container-registry-built-in-policy.

  3. Tilldela en inbyggd princip för att inaktivera definition för autentisering som arm – Azure Portal.

Tilldela en inbyggd principdefinition för att inaktivera autentisering med ARM-målgruppstoken – Azure Portal.

Du kan aktivera registrets princip för villkorlig åtkomst i Azure Portal.

Azure Container Registry har två inbyggda principdefinitioner för att inaktivera autentisering som arm enligt nedan:

  • Container registries should have ARM audience token authentication disabled. – Den här principen rapporterar, blockerar alla icke-kompatibla resurser och skickar även en begäran om att uppdatera icke-kompatibla till kompatibla.

  • Configure container registries to disable ARM audience token authentication. – Den här principen erbjuder reparation och uppdateringar som inte är kompatibla med kompatibla resurser.

    1. Logga in på Azure-portalen.

    2. Gå till principerna för resursgruppinställningar>>för Azure Container Registry .>

      Skärmbild som visar hur du navigerar i Azure-principer.

    3. Gå till Azure Policy. Välj Tilldela princip i Tilldelningar.

      Skärmbild som visar hur du tilldelar en princip.

    4. Under Principen Tilldela använder du filter för att söka efter omfång, principdefinition, tilldelningsnamn.

      Skärmbild av fliken Tilldela princip.

    5. Välj Omfång för att filtrera och söka efter Prenumeration och ResourceGroup och välj Välj.

      Skärmbild av fliken Omfång.

    6. Välj Principdefinition för att filtrera och söka i de inbyggda principdefinitionerna efter principen för villkorsstyrd åtkomst.

      Skärmbild av inbyggda principdefinitioner.

    7. Använd filter för att välja och bekräfta omfång, principdefinition och tilldelningsnamn.

    8. Använd filtren för att begränsa efterlevnadstillstånd eller för att söka efter principer.

    9. Bekräfta inställningarna och ange principtillämpningen som aktiverad.

    10. Välj Granska + skapa.

      Skärmbild för att aktivera en princip för villkorsstyrd åtkomst.

Nästa steg

Skapa och konfigurera en princip för villkorlig åtkomst