Panoramica delle autorizzazioni Entra e delle assegnazioni di ruolo del Registro Azure Containers

Articolo
2025-05-04

Azure Container Registry (ACR) offre un set di ruoli predefiniti che forniscono la gestione delle autorizzazioni basata su Microsoft Entra per un Azure Container Registry. Usando il controllo degli accessi in base al ruolo di Azure, è possibile assegnare un ruolo predefinito a utenti, identità gestite o entità servizio per concedere le autorizzazioni basate su Microsoft Entra definite all'interno del ruolo. È anche possibile definire e assegnare ruoli personalizzati con autorizzazioni specifiche personalizzate in base alle esigenze specifiche se i ruoli predefiniti non soddisfano i requisiti.

Tipi di identità di assegnazione di ruolo supportati

I ruoli ACR possono essere assegnati ai seguenti tipi di identità per concedere le autorizzazioni a un Container Registry:

Identità utente individuale
Identità gestita per le risorse di Azure
- Azure DevOps - Identità di Azure Pipelines
- Identità kubelet del nodo del servizio Azure Kubernetes (AKS) per consentire al nodo AKS di recuperare immagini dall'Azure Container Registry. Registro Azure Container supporta le assegnazioni di ruolo sia per l'identità kubelet gestita da AKS che per l'identità kubelet pre-creata da AKS per i nodi del servizio Azure Kubernetes per il recupero delle immagini dal Registro Azure Container.
- Identità di Azure Container Apps (ACA)
- Identità di Azure Container Instances
- Identità dell'area di lavoro di Azure Machine Learning (AML)
- Identità kubelet del nodo del cluster Kubernetes collegata a AML per consentire ai nodi del cluster Kubernetes di scaricare immagini dal Registro Azure Container (ACR).
- Identità dell'endpoint online AML
- Identità del servizio app di Azure
- Identità di App Web di Azure
- Identità di Azure Batch
- Identità di Funzioni di Azure
Service Principal
- Principale di servizio del cluster AKS per consentire ai nodi del servizio Azure Kubernetes di eseguire il pull delle immagini da Azure Container Registry. Registro Azure Container supporta anche l'autenticazione del nodo AKS tra tenant verso Registro Azure Container tramite assegnazioni di ruoli principali del servizio tra tenant e autenticazione.
- Entità servizio ACI
- Cluster AKS ibridi o locali su Azure Stack Hub utilizzando il service principal

Tenere presente che Azure Container Registry Connected Registry, l'offerta di registri locali di Azure Container Registry che differisce dal servizio ACR basato sul cloud, non supporta le assegnazioni di ruolo di Azure e la gestione delle autorizzazioni basate su Entra.

Esecuzione di assegnazioni di ruolo per concedere le autorizzazioni

Per informazioni su come assegnare un ruolo a un'identità, vedere Passaggi per aggiungere un'assegnazione di ruolo . Le assegnazioni di ruolo possono essere effettuate usando:

Per eseguire le assegnazioni di ruolo, è necessario avere il ruolo Owner o il ruolo Role Based Access Control Administrator nel registro.

Definizione dell'ambito delle assegnazioni di ruolo a repository specifici

È possibile usare il controllo degli accessi in base all'attributo Microsoft Entra per la gestione delle autorizzazioni del repository basato su Microsoft Entra. Questa funzionalità consente di definire l'ambito delle assegnazioni di ruolo a repository specifici in un registro.

Per una panoramica delle autorizzazioni del repository ABAC di Microsoft Entra, inclusi i ruoli predefiniti di Azure Container Registry che supportano le condizioni ABAC di Microsoft Entra, vedere Autorizzazioni del repository basate su Microsoft Entra. In alternativa, è possibile consultare il riferimento della directory dei ruoli del Registro Azure Container per un elenco di ruoli predefiniti che supportano le condizioni ABAC (Attribute-Based Access Control) di Microsoft Entra.

Ruoli predefiniti consigliati per scenario

Applicare il principio dei privilegi minimi assegnando solo le autorizzazioni necessarie per un'identità per eseguire la funzione desiderata. Per ciascuno di questi scenari comuni, è consigliato un ruolo predefinito.

Annotazioni

I ruoli predefiniti e il comportamento del ruolo applicabili dipendono dalla modalità "Autorizzazioni di assegnazione ruolo" del Registro di sistema. Questo è visibile nel pannello "Proprietà" nel portale di Azure:

Autorizzazioni del Registro RBAC e del Repository ABAC: supporta le assegnazioni standard dei ruoli RBAC con condizioni facoltative ABAC di Microsoft Entra per limitare le assegnazioni a repository specifici.
Autorizzazioni del Registro RBAC: supporta solo le assegnazioni standard RBAC senza condizioni ABAC.

Per informazioni dettagliate sui ruoli abilitati per Microsoft Entra ABAC e ABAC, vedere Autorizzazioni del repository basate su Microsoft Entra.

Registri configurati con "Registro RBAC + Permessi di repository ABAC"
Registri configurati con "Autorizzazioni del Registro RBAC"

Scenario: identità che devono scaricare le immagini e convalidare artefatti della supply chain, come sviluppatori, pipeline e orchestratori di contenitori (ad esempio, identità kubelet del nodo del servizio Azure Kubernetes, app Azure Container, istanze di Azure Container, aree di lavoro di Azure Machine Learning)
- Ruolo: Container Registry Repository Reader
- Scopo: concede l'accesso in sola lettura al piano dati per eseguire il pull di immagini e artefatti, visualizzare tag, repository, referrer Open Container Initiative (OCI) e configurazioni di streaming degli artefatti. Non include alcun piano di controllo o autorizzazioni di scrittura. Non concede autorizzazioni all'elenco di cataloghi del repository per elencare i repository nel Registro di sistema.
- Supporto ABAC: questo ruolo supporta le condizioni facoltative di Microsoft Entra ABAC per limitare le assegnazioni di ruolo a specifici repository nel registro.
Scenario: identità come le pipeline di compilazione CI/CD e gli sviluppatori che creano e inviano immagini, oltre a gestire i tag delle immagini
- Ruolo: Container Registry Repository Writer
- Autorizzazioni: concede l'accesso al piano di controllo dei dati per eseguire il push, il pull e l'aggiornamento (ma non l'eliminazione) di immagini e artefatti, leggere/gestire i tag, leggere/gestire i referrer OCI e abilitare (ma non disabilitare) lo streaming degli artefatti per i repository e le immagini. Non include alcuna autorizzazione del piano di controllo. Non concede autorizzazioni all'elenco di cataloghi del repository per elencare i repository nel Registro di sistema.
- Supporto ABAC: questo ruolo supporta le condizioni facoltative di Microsoft Entra ABAC per limitare le assegnazioni di ruolo a specifici repository nel registro.
Scenario: identità che devono eliminare immagini, artefatti, tag e referrer OCI
- Ruolo: Container Registry Repository Contributor
- Autorizzazioni: concede le autorizzazioni per leggere, scrivere, aggiornare ed eliminare immagini e artefatti, leggere, gestire ed eliminare tag, leggere, gestire ed eliminare i referrer OCI e abilitare/disabilitare lo streaming degli artefatti per repository e immagini. Non include alcuna autorizzazione del piano di controllo. Non concede autorizzazioni all'elenco di cataloghi del repository per elencare i repository nel Registro di sistema.
- Supporto ABAC: questo ruolo supporta le condizioni facoltative di Microsoft Entra ABAC per limitare le assegnazioni di ruolo a specifici repository nel registro.
Scenario: Identità che devono elencare tutti i repository nel registro
- Ruolo: Container Registry Repository Catalog Lister
- Autorizzazioni: concede l'accesso al piano dati per elencare tutti i repository nel registro, inclusi gli endpoint dell'API del registro, {loginServerURL}/acr/v1/_catalog o {loginServerURL}/v2/_catalog. Non comprende autorizzazioni del piano di controllo o autorizzazioni per caricare/scaricare le immagini.
- Supporto ABAC: questo ruolo non supporta le condizioni ABAC di Microsoft Entra. Di conseguenza, questa assegnazione di ruolo concederà le autorizzazioni per elencare tutti i repository nel Registro di sistema.
Scenario: pipeline, identità e sviluppatori che firmano le immagini
- Per la firma di immagini con riferimenti OCI, ad esempio Notary Project:
  - Ruolo: Container Registry Repository Writer
  - Autorizzazioni: concede l'accesso al piano dati per eseguire il push delle firme sotto forma di referrer OCI collegati a immagini e artefatti. Non include alcuna autorizzazione del piano di controllo.
  - Supporto ABAC: questo ruolo supporta le condizioni facoltative di Microsoft Entra ABAC per limitare le assegnazioni di ruolo a specifici repository nel registro.
- Per firmare immagini con Docker Content Trust (DCT):For signing images with Docker Content Trust (DCT):
  - La firma delle immagini con DCT per i registri abilitati per il controllo degli accessi basato su attributi non è supportata.
Scenario: pipeline, identità e sviluppatori che devono creare, aggiornare o eliminare i registri di Azure Container
- Ruolo: Container Registry Contributor and Data Access Configuration Administrator
- Autorizzazioni:
  - Concede l'accesso al piano di controllo per creare, configurare, gestire ed eliminare registri, tra cui:
    - configurare gli SKU del registro
    - impostazioni di accesso all'autenticazione (credenziali di accesso utente amministratore, pull anonimo, autorizzazioni del repository basate su token non Microsoft Entra e destinatari del token as-arm di Microsoft Entra),
    - funzionalità a disponibilità elevata (repliche geografiche, zone di disponibilità e ridondanza della zona),
    - funzionalità locali (registri connessi),
    - endpoint del Registro di sistema (endpoint dati dedicati)
    - accesso alla rete (impostazioni di collegamento privato ed endpoint privato, accesso alla rete pubblica, bypass dei servizi attendibili, regole del firewall di rete e endpoint del servizio di Rete Virtuale (VNET))
    - criteri del Registro di sistema (criteri di conservazione, abilitazione della quarantena a livello del Registro di sistema, abilitazione dell'eliminazione temporanea e criteri di esportazione dell'esfiltrazione dei dati)
    - impostazioni di diagnostica e monitoraggio (impostazioni di diagnostica, log, metriche, webhook per registri e repliche geografiche e Griglia di eventi)
    - gestire l'identità gestita assegnata dal sistema di un registro
  - Nota: questo ruolo concede le autorizzazioni per eliminare il Registro di sistema stesso.
  - Nota: questo ruolo non include operazioni del piano dati (ad esempio, push/pull di immagini), funzionalità di assegnazione di ruolo o attività ACR (Azure Container Registry).
  - Nota: per gestire l'identità gestita assegnata dall'utente di un registro, l'assegnatario deve avere anche il Managed Identity Operator ruolo .
- Supporto ABAC: questo ruolo non supporta le condizioni ABAC di Microsoft Entra poiché il ruolo ha come ambito il livello del registro, concedendo autorizzazioni per gestire le impostazioni e le configurazioni del piano di controllo per l'intero registro.
Scenario: pipeline, ingegneri delle infrastrutture o strumenti di osservabilità/monitoraggio del piano di controllo che devono elencare i registri e visualizzare le configurazioni del registro, ma non accedere alle immagini del registro
- Ruolo: Container Registry Configuration Reader and Data Access Configuration Reader
- Autorizzazioni: controparte del ruolo Container Registry Contributor and Data Access Configuration Administrator in sola lettura. Concede l'accesso al piano di controllo per visualizzare ed elencare i registri e controllare le configurazioni del Registro di sistema, ma non modificarle. Non include operazioni del piano del dato (ad esempio, invio/ricezione di immagini) o funzionalità di assegnazione ruoli.
- Supporto ABAC: Questo ruolo non supporta le condizioni ABAC di Microsoft Entra poiché il ruolo è limitato al livello del Registro, concedendo autorizzazioni per leggere le impostazioni e le configurazioni del piano di controllo per l'intero Registro.
Scenario: scanner di vulnerabilità e strumenti che devono controllare i registri e le configurazioni del Registro di sistema, e accedere alle immagini del Registro per analizzarle e individuare le vulnerabilità
- Ruoli: Container Registry Repository Reader, Container Registry Repository Catalog Listere Container Registry Configuration Reader and Data Access Configuration Reader
- Autorizzazioni: concede l'accesso al piano di controllo per visualizzare ed elencare i registri ACR, oltre a verificare le configurazioni dei registri per controllo e conformità. Concede inoltre le autorizzazioni per scaricare immagini, artefatti e visualizzare i tag per esaminare e analizzare le immagini al fine di individuare le vulnerabilità.
- Supporto ABAC: ACR consiglia di garantire che gli scanner di vulnerabilità e i monitor abbiano pieno accesso al data plane a tutti i repository nel registro. Di conseguenza, questi ruoli devono essere assegnati senza condizioni ABAC di Microsoft Entra per concedere autorizzazioni di ruolo senza limitarli a repository specifici.
Scenario: pipeline e identità che orchestrano le attività dell'ACR
- Ruolo: Container Registry Tasks Contributor
- Autorizzazioni: Gestire le attività ACR, incluse le definizioni delle attività e le esecuzioni delle attività, i pool di agenti attività, le compilazioni rapide con az acr build e le esecuzioni rapide con az acr run, e i log delle attività. Non include autorizzazioni del piano di controllo dati o una configurazione del registro più ampia
- Nota: per gestire appieno le identità delle attività, l'assegnatario deve avere il ruolo Managed Identity Operator.
- Supporto ABAC: Questo ruolo non supporta le condizioni ABAC di Microsoft Entra poiché il ruolo è limitato al livello del registro, concedendo le autorizzazioni per gestire tutte le attività di Azure Container Registry nel registro.
Scenario: identità digitali come pipeline e sviluppatori che importano immagini con az acr import
- Ruolo: Container Registry Data Importer and Data Reader
- Autorizzazioni: concede l'accesso al piano di controllo per attivare le importazioni di immagini usando az acr importe l'accesso al piano dati per convalidare l'esito positivo dell'importazione (eseguire il pull di immagini e artefatti importati, visualizzare il contenuto del repository, elencare i referrer OCI e controllare i tag importati). Non consente il push o la modifica di contenuto nel Registro di sistema.
- Supporto ABAC: Questo ruolo non supporta le condizioni ABAC di Microsoft Entra poiché il ruolo è limitato al livello del registro, concedendo le autorizzazioni per importare immagini in qualsiasi repository nel registro. Concede inoltre le autorizzazioni per leggere le immagini in tutti i repository nel Registro di sistema.
Scenario: identità come pipeline e sviluppatori che gestiscono le pipeline di trasferimento ACR per il trasferimento di artefatti tra registri usando account di archiviazione intermedi attraverso confini di rete, tenant o barriere d'aria.
- Ruolo: Container Registry Transfer Pipeline Contributor
- Autorizzazioni: concede l'accesso al piano di controllo per gestire le pipeline di importazione/esportazione di Registro dei Contenitori di Azure e le esecuzioni delle pipeline tramite account di archiviazione intermedi. Non include autorizzazioni del piano dati, accesso al Registro di sistema più ampio o autorizzazioni per gestire altri tipi di risorse di Azure, ad esempio account di archiviazione o insiemi di credenziali delle chiavi.
- Supporto ABAC: Questo ruolo non supporta le condizioni ABAC di Microsoft Entra in quanto è ristretto al livello del registro, concedendo le autorizzazioni per gestire tutte le pipeline di trasferimento dell'Azure Container Registry nel registro.
Scenario: Gestione delle immagini in quarantena
- Ruoli: AcrQuarantineReader e AcrQuarantineWriter
- Autorizzazioni: gestire le immagini in quarantena nel Registro di sistema, incluse l'inserzione e il pull delle immagini in quarantena per un'ulteriore ispezione e la modifica dello stato di quarantena delle immagini. Le immagini in quarantena sono immagini che non possono essere scaricate o utilizzate fino a quando non vengono tolte dalla quarantena.
- Supporto ABAC: questo ruolo non supporta le condizioni ABAC di Microsoft Entra poiché il ruolo ha come ambito il livello del registro, concedendo le autorizzazioni per gestire tutte le immagini in quarantena nel registro.
Scenario: sviluppatori o processi che configurano l'eliminazione automatica del registro nelle attività di ACR
- Ruolo: Container Registry Tasks Contributor
- Autorizzazioni: concede le autorizzazioni del piano di controllo per gestire l'eliminazione automatica, che viene eseguita nelle attività di Azure Container Registry.
- Supporto ABAC: Questo ruolo non supporta le condizioni ABAC di Microsoft Entra poiché il ruolo è limitato al livello del registro, concedendo le autorizzazioni per gestire tutte le attività di Azure Container Registry nel registro.
Scenario: Utenti dell'estensione Docker di Visual Studio Code
- Ruoli: Container Registry Repository Writer, Container Registry Tasks Contributore Container Registry Contributor and Data Access Configuration Administrator
- Autorizzazioni: concede funzionalità per esplorare registri, eseguire il pull e il push di immagini e compilare immagini usando az acr build, supportando flussi di lavoro per sviluppatori comuni in Visual Studio Code.
- Supporto ABAC: ACR consiglia agli utenti di Visual Studio Code di avere accesso completo al livello dati a tutti i repository nel registro. Di conseguenza, questi ruoli devono essere assegnati senza condizioni ABAC di Microsoft Entra per concedere autorizzazioni di ruolo senza limitarli a repository specifici.

Scenario: identità che devono scaricare le immagini e convalidare artefatti della supply chain, come sviluppatori, pipeline e orchestratori di contenitori (ad esempio, identità kubelet del nodo del servizio Azure Kubernetes, app Azure Container, istanze di Azure Container, aree di lavoro di Azure Machine Learning)
- Ruolo: AcrPull
- Scopo: concede l'accesso in sola lettura al piano dati per eseguire il pull di immagini e artefatti, visualizzare tag, repository, referrer Open Container Initiative (OCI) e configurazioni di streaming degli artefatti. Non include alcun piano di controllo o autorizzazioni di scrittura.
Scenario: identità come le pipeline di compilazione CI/CD e gli sviluppatori che creano e inviano immagini, oltre a gestire i tag delle immagini
- Ruolo: AcrPush
- Autorizzazioni: concede l'accesso al piano dati per eseguire il push e il pull di immagini e artefatti, gestire i tag, usare i referrer OCI e configurare lo streaming degli artefatti per repository e immagini. Non include alcuna autorizzazione del piano di controllo.
Scenario: pipeline, identità e sviluppatori che firmano le immagini
- Per la firma di immagini con riferimenti OCI, ad esempio Notary Project:
  - Ruolo: AcrPush
  - Autorizzazioni: concede l'accesso al piano dati per eseguire il push delle firme sotto forma di referrer OCI collegati a immagini e artefatti. Non include alcuna autorizzazione del piano di controllo.
- Per firmare immagini con Docker Content Trust (DCT):For signing images with Docker Content Trust (DCT):
  - Ruolo: AcrImageSigner
  - Autorizzazioni: firmare le immagini nel registro con Docker Content Trust (DCT).
  - Nota: l'attendibilità del contenuto Docker è deprecata.
Scenario: pipeline, identità e sviluppatori che devono creare, aggiornare o eliminare i registri di Azure Container
- Ruolo: Container Registry Contributor and Data Access Configuration Administrator
- Autorizzazioni:
  - Concede l'accesso al piano di controllo per creare, configurare, gestire ed eliminare registri, tra cui:
    - configurare gli SKU del registro
    - impostazioni di accesso all'autenticazione (credenziali di accesso utente amministratore, pull anonimo, autorizzazioni del repository basate su token non Microsoft Entra e destinatari del token as-arm di Microsoft Entra),
    - funzionalità a disponibilità elevata (repliche geografiche, zone di disponibilità e ridondanza della zona),
    - funzionalità locali (registri connessi),
    - endpoint del Registro di sistema (endpoint dati dedicati)
    - accesso alla rete (impostazioni di collegamento privato ed endpoint privato, accesso alla rete pubblica, bypass dei servizi attendibili, regole del firewall di rete e endpoint del servizio di Rete Virtuale (VNET))
    - criteri del Registro di sistema (criteri di conservazione, abilitazione della quarantena a livello del Registro di sistema, abilitazione dell'eliminazione temporanea e criteri di esportazione dell'esfiltrazione dei dati)
    - impostazioni di diagnostica e monitoraggio (impostazioni di diagnostica, log, metriche, webhook per registri e repliche geografiche e Griglia di eventi)
    - gestire l'identità gestita assegnata dal sistema di un registro
  - Nota: questo ruolo concede le autorizzazioni per eliminare il Registro di sistema stesso.
  - Nota: questo ruolo non include operazioni del piano dati (ad esempio, push/pull di immagini), funzionalità di assegnazione di ruolo o attività ACR (Azure Container Registry).
  - Nota: per gestire l'identità gestita assegnata dall'utente di un registro, l'assegnatario deve avere anche il Managed Identity Operator ruolo .
Scenario: pipeline, ingegneri delle infrastrutture o strumenti di osservabilità/monitoraggio del piano di controllo che devono elencare i registri e visualizzare le configurazioni del registro, ma non accedere alle immagini del registro
- Ruolo: Container Registry Configuration Reader and Data Access Configuration Reader
- Autorizzazioni: controparte del ruolo Container Registry Contributor and Data Access Configuration Administrator in sola lettura. Concede l'accesso al piano di controllo per visualizzare ed elencare i registri e controllare le configurazioni del Registro di sistema, ma non modificarle. Non include operazioni del piano del dato (ad esempio, invio/ricezione di immagini) o funzionalità di assegnazione ruoli.
Scenario: scanner di vulnerabilità e strumenti che devono controllare i registri e le configurazioni del Registro di sistema, e accedere alle immagini del Registro per analizzarle e individuare le vulnerabilità
- Ruoli: AcrPull e Container Registry Configuration Reader and Data Access Configuration Reader
- Autorizzazioni: concede l'accesso al piano di controllo per visualizzare ed elencare i registri ACR, oltre a verificare le configurazioni dei registri per controllo e conformità. Concede inoltre le autorizzazioni per scaricare immagini, artefatti e visualizzare i tag per esaminare e analizzare le immagini al fine di individuare le vulnerabilità.
Scenario: pipeline e identità che orchestrano le attività dell'ACR
- Ruolo: Container Registry Tasks Contributor
- Autorizzazioni: Gestire le attività ACR, incluse le definizioni delle attività e le esecuzioni delle attività, i pool di agenti attività, le compilazioni rapide con az acr build e le esecuzioni rapide con az acr run, e i log delle attività. Non include autorizzazioni del piano di controllo dati o una configurazione del registro più ampia
- Nota: per gestire appieno le identità delle attività, l'assegnatario deve avere il ruolo Managed Identity Operator.
Scenario: identità digitali come pipeline e sviluppatori che importano immagini con az acr import
- Ruolo: Container Registry Data Importer and Data Reader
- Autorizzazioni: concede l'accesso al piano di controllo per attivare le importazioni di immagini usando az acr importe l'accesso al piano dati per convalidare l'esito positivo dell'importazione (eseguire il pull di immagini e artefatti importati, visualizzare il contenuto del repository, elencare i referrer OCI e controllare i tag importati). Non consente il push o la modifica di contenuto nel Registro di sistema.
Scenario: identità come pipeline e sviluppatori che gestiscono le pipeline di trasferimento ACR per il trasferimento di artefatti tra registri usando account di archiviazione intermedi attraverso confini di rete, tenant o barriere d'aria.
- Ruolo: Container Registry Transfer Pipeline Contributor
- Autorizzazioni: concede l'accesso al piano di controllo per gestire le pipeline di importazione/esportazione di Registro dei Contenitori di Azure e le esecuzioni delle pipeline tramite account di archiviazione intermedi. Non include autorizzazioni del piano dati, accesso al Registro di sistema più ampio o autorizzazioni per gestire altri tipi di risorse di Azure, ad esempio account di archiviazione o insiemi di credenziali delle chiavi.
Scenario: Gestione delle immagini in quarantena
- Ruoli: AcrQuarantineReader e AcrQuarantineWriter
- Autorizzazioni: gestire le immagini in quarantena nel Registro di sistema, incluse l'inserzione e il pull delle immagini in quarantena per un'ulteriore ispezione e la modifica dello stato di quarantena delle immagini. Le immagini in quarantena sono immagini che non possono essere scaricate o utilizzate fino a quando non vengono tolte dalla quarantena.
Scenario: eliminazione di immagini, artefatti, tag e referrer OCI
- Ruolo: AcrDelete
- Autorizzazioni: fornisce le autorizzazioni per eliminare artefatti e tag in tutti i repository nel Registro di sistema. Questo ruolo non concede le autorizzazioni per eliminare il Registro di sistema stesso.
Scenario: sviluppatori o processi che configurano l'eliminazione automatica del registro nelle attività di ACR
- Ruolo: Container Registry Tasks Contributor
- Autorizzazioni: concede le autorizzazioni del piano di controllo per gestire l'eliminazione automatica, che viene eseguita nelle attività di Azure Container Registry.
Scenario: Utenti dell'estensione Docker di Visual Studio Code
- Ruoli: AcrPush, Container Registry Tasks Contributore Container Registry Contributor and Data Access Configuration Administrator
- Autorizzazioni: concede funzionalità per esplorare registri, eseguire il pull e il push di immagini e compilare immagini usando az acr build, supportando flussi di lavoro per sviluppatori comuni in Visual Studio Code.

Passaggi successivi

Per eseguire assegnazioni di ruolo con condizioni facoltative ABAC di Microsoft Entra per definire l'ambito delle assegnazioni di ruolo a repository specifici, vedere Autorizzazioni del repository basate su Microsoft Entra.
Per avere un riferimento dettagliato di ogni ruolo integrato del Azure Container Registry, incluse le autorizzazioni concesse da ciascun ruolo, vedere il riferimento alla directory dei ruoli del Azure Container Registry.
Per altre informazioni sulla creazione di ruoli personalizzati che soddisfano esigenze e requisiti specifici, vedere Ruoli personalizzati di Registro Azure Container.

Condividi tramite