Контроль доступа на основе атрибутов Microsoft Entra (ABAC) для разрешений репозитория (предварительная версия)

Статья
2025-05-04

Реестр контейнеров Azure (ACR) поддерживает управление доступом на основе атрибутов Microsoft Entra (ABAC) для управления разрешениями репозитория. Эта функция повышает безопасность, обеспечивая более детализированное управление разрешениями в репозиториях реестра контейнеров. ABAC расширяет управление доступом на основе ролей Microsoft Entra (RBAC), добавляя условия, привязанные к конкретным репозиториям, в назначениях ролей.

ABAC предназначен для управления разрешениями репозитория с помощью управления доступом на основе ролей Microsoft Entra (RBAC), назначений ролей Microsoft Entra и удостоверений Microsoft Entra. Для управления разрешениями репозитория без Microsoft Entra используйте разрешения репозитория на основе токенов, не относящиеся к Microsoft Entra.

Настройка режима разрешений назначения ролей реестра

Чтобы использовать Microsoft Entra ABAC для управления разрешениями репозитория, убедитесь, что для режима разрешений назначения ролей реестра задано значение "RBAC Registry + ABAC Repository Permissions". Этот режим позволяет использовать назначения ролей RBAC (с помощью встроенных ролей ACR) с необязательными условиями ABAC для области назначения ролей определенным репозиториям.

Можно настроить режим разрешений назначения ролей реестра во время создания реестра или обновления существующего реестра. Это назначение роли можно выполнить с помощью портала Azure или Azure CLI. Вы можете включить ABAC для любого реестра независимо от его номера SKU.

Замечание

Убедитесь, что установлена последняя версия Azure CLI, выполнив команду az upgradeAzure CLI. Кроме того, если вы ранее приняли участие в закрытой предварительной версии этой функции, возможно, вы установили пользовательское расширение частной предварительной версии для управления ACR ABAC. Это пользовательское расширение больше не требуется и следует удалить (чтобы избежать конфликтов), выполнив команду az extension remove --name acrabacAzure CLI.

Влияние на существующие назначения ролей

Это важно

Если вы настроите реестр для использования RBAC Registry + ABAC Repository Permissions, некоторые существующие назначения ролей не учитываются, так как другой набор встроенных ролей ACR применяется к реестрам с поддержкой ABAC.

Например, роли AcrPull, AcrPush и AcrDelete не учитываются в реестре с включенной поддержкой ABAC. Вместо этого в реестрах с поддержкой ABAC используйте роли Container Registry Repository Reader, Container Registry Repository Writer, и Container Registry Repository Contributor для предоставления разрешений на использование образов на уровне реестра или репозитория.

Для получения дополнительной информации о роли, определяемой вашим сценарием и режимом разрешений на назначение ролей реестра, см. сценарии встроенных ролей ACR. Помимо этого, обратитесь к справочнику по встроенным ролям ACR для получения подробного описания каждой роли.

При создании реестра на портале Azure выберите параметр "Реестр RBAC и разрешения репозитория ABAC" в раскрывающемся списке "Режим разрешений назначения ролей".

Перейдите к заполнению остальной части формы создания реестра и нажмите кнопку "Создать", чтобы создать реестр. Дополнительные сведения о создании реестра см. в статье "Создание реестра контейнеров Azure" с помощью портала Azure.

При выполнении az acr create используйте параметр --role-assignment-mode, чтобы установить режим назначения разрешений ролей реестра.

Вы можете указать rbac-abac для создания реестра с новым режимом "RBAC Registry + ABAC Repository Permissions", который позволяет использовать назначения ролей RBAC и, при необходимости, условия Microsoft Entra ABAC, чтобы ограничить назначения ролей определенными репозиториями.
Вы также можете указать rbac , чтобы создать реестр с более старым режимом разрешений реестра RBAC, который поддерживает только назначения ролей RBAC без условий ABAC.

Чтобы создать реестр с поддержкой ABAC и разрешениями хранилища ABAC на основе реестра RBAC, выполните следующую команду:

az acr create --name <registry-name> --resource-group <resource-group> --sku <sku> --role-assignment-mode 'rbac-abac' --location <location>

Обновление существующего реестра для включения ABAC

Портал Azure
Azure CLI

Чтобы просмотреть существующий режим разрешений назначения ролей реестра, перейдите в колонку "Свойства" реестра. Текущий режим разрешений назначения ролей отображается в поле "Режим разрешений назначения ролей".

Чтобы обновить режим разрешений назначения ролей существующего реестра, выберите "RBAC Registry + ABAC Repository Permissions" (Разрешения репозитория RBAC и ABAC) и нажмите кнопку "Сохранить", чтобы обновить реестр.

При выполнении az acr update используйте параметр --role-assignment-mode, чтобы задать режим назначения разрешений в реестре ролей.

Можно указать rbac-abac, чтобы обновить реестр на новый режим разрешений "RBAC Registry + ABAC Repository Permissions", который позволяет использовать назначения ролей в RBAC с необязательными условиями ABAC для ограничения назначений ролей в конкретных репозиториях.
Можно также указать rbac , чтобы обновить реестр до более старого режима разрешений реестра RBAC, который поддерживает только назначения ролей RBAC без условий ABAC.

Чтобы отобразить текущий режим разрешений назначения ролей реестра, выполните следующую команду:

az acr show --name <registry-name> --resource-group <resource-group> --query "roleAssignmentMode"

Чтобы обновить существующий реестр до RBAC Registry + ABAC Repository Permissions, выполните следующую команду:

az acr update --name <registry-name> --resource-group <resource-group> --role-assignment-mode 'rbac-abac'

Назначение прав доступа для репозитория Microsoft Entra ABAC

Вы можете использовать портал Azure или Azure CLI для назначения условий Microsoft Entra ABAC для области назначений ролей определенным репозиториям. В этом разделе приведены примеры добавления условий ABAC для определенного репозитория, префикса репозитория (подстановочный знак) или нескольких префиксов репозитория (несколько подстановочных знаков).

Встроенные роли с поддержкой ABAC

Следующие встроенные роли ACR — это роли с включенной функцией ABAC. Вы можете указать необязательные условия ABAC для следующих ролей, чтобы при необходимости ограничивать назначения ролей конкретными репозиториями.

Container Registry Repository Reader — роль с поддержкой ABAC, которая предоставляет разрешения на чтение изображений, тегов и метаданных в репозиториях в реестре.
Container Registry Repository Writer — роль с поддержкой ABAC, которая предоставляет разрешения на чтение, запись и обновление изображений, тегов и метаданных в репозиториях в реестре.
Container Registry Repository Contributor — роль с поддержкой ABAC, которая предоставляет разрешения на чтение, запись, обновление и удаление изображений, тегов и метаданных в репозиториях в реестре.

Обратите внимание, что эти роли не поддерживают разрешения на перечисление списков репозиториев в реестре. Чтобы перечислить все репозитории в реестре (без предоставления разрешений на чтение содержимого репозитория), необходимо дополнительно назначить Container Registry Repository Catalog Lister роль. Эта отдельная роль не поддерживает условия ABAC и всегда имеет разрешения на перечисление всех репозиториев в реестре.

Это важно

Если вы назначаете роль с поддержкой ABAC без условий ABAC, назначение роли не будет ограничено репозиториями. Это означает, что назначение ролей без условий ABAC будет рассматриваться как назначение ролей на уровне реестра, предоставляя разрешения всем репозиториям в реестре. Чтобы ограничить назначение роли определенными репозиториями, необходимо включить условия ABAC при назначении роли с поддержкой ABAC.

Дополнительные сведения о роли, основанной на вашем сценарии, и режиме назначения разрешений ролей реестра см. в сценариях встроенных ролей ACR. Кроме того, ознакомьтесь со справочником по встроенным ролям ACR для подробного описания каждой роли.

Назначение ролей области определенному репозиторию

В этом примере мы назначаем Container Registry Repository Reader роль для предоставления права чтения для одного репозитория. Добавив условия ABAC, это назначение роли позволяет извлекать изображения удостоверения, просматривать теги и читать метаданные только из указанного репозитория, предотвращая доступ к другим репозиториям в реестре.

Портал Azure
Azure CLI

Перейдите к панели "Управление доступом (IAM)" реестра. Нажмите кнопку "Добавить" и выберите "Добавить назначение ролей".

Выберите Container Registry Repository Reader в качестве роли.

Продолжайте, выбрав удостоверение, которому будет назначена роль.

Затем перейдите на вкладку "Условия". Нажмите кнопку "Добавить условие", чтобы добавить новое условие ABAC, чтобы ограничить область назначения роли.

Выберите опцию "визуальный редактор" в конструкторе условий ABAC.

Выберите действия (разрешения), которые нужно предоставить для этой роли, ограниченной областью репозитория. Для большинства случаев выберите все действия (разрешения), принадлежащие ранее выбранной роли, чтобы удостоверения могли выполнять только эти действия в пределах области репозитория.

Добавьте выражение для условия ABAC, чтобы ограничить назначение роли определенным репозиторием.

Настройте следующие параметры выражения для ограничения условия ABAC для определенного репозитория.

Источник атрибута: Request
Атрибут: Repository name
Оператор: StringEqualsIgnoreCase
Значение: <repository-name> — полное имя репозитория.
- Например, если полное имя репозитория равно nginx, введите nginx.
- Если имя полного репозитория равно backend/nginx, введите backend/nginx.

Нажмите кнопку "Сохранить", чтобы сохранить условие ABAC.

Просмотрите условие для назначения ролей ABAC. На странице обзора содержится выражение кода условия ABAC, которое может быть использовано для назначения той же роли с тем же условием ABAC, используя Azure CLI.

Выполните назначение роли, нажав кнопку "Проверить и назначить".

После создания назначения роли можно просмотреть, изменить или удалить назначение роли. Перейдите к разделу "Управление доступом (IAM)" реестра и перейдите на вкладку "Назначения ролей", чтобы просмотреть список существующих назначений ролей, которые применяются к реестру.

Чтобы добавить назначение ролей с условием ABAC в определенный репозиторий, используйте az role assignment create. Команда az role assignment create включает следующие параметры, связанные с условиями ABAC.

Параметр	Тип	Описание
`role`	Струна	Имя идентификатора роли, назначаемой, например `Container Registry Repository Reader`.
`scope`	Струна	Полный идентификатор ресурса в реестре. Этот параметр должен быть идентификатором ресурса реестра (без имени репозитория), даже для назначений ролей в определенном репозитории с форматом `/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.ContainerRegistry/registries/{registry-name}`. Вы также можете указать группу ресурсов или область подписки для выполнения этого назначения ролей во всех реестрах в группе ресурсов или подписке.
`assignee`	Струна	Адрес электронной почты или идентификатор объекта Microsoft Entra, которому назначается роль. Например, можно указать `[email protected]` для назначения пользователя. Можно также указать идентификатор объекта идентичности.
`assignee-object-id`	Струна	Используйте этот параметр вместо "--assignee" для обхода вызова API Graph, если недостаточно привилегий. Этот параметр работает только с идентификаторами объектов для пользователей, групп, служебных принципалов и управляемых удостоверений. Для управляемых удостоверений используйте идентификатор принципала. Для субъектов-служб используйте идентификатор объекта, а не идентификатор приложения.
`description`	Струна	Описание для назначения роли, которое помогает определить ее цель. Это необязательный параметр.
`condition`	Струна	Выражение кода, определяющее условие ABAC для назначения роли.
`condition-version`	Струна	Версия синтаксиса условия. Если `--condition` задано без `--condition-version`, для версии устанавливается значение `2.0` по умолчанию.

Команда ACR рекомендует использовать визуальный редактор в интерфейсе назначения ролей портала Azure, чтобы создать выражение для условия ABAC.

Используйте следующее выражение для условия ABAC, чтобы ограничить назначение роли только для репозитория nginx.

(
 (
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})
  AND
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'})
 )
 OR 
 (
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringEqualsIgnoreCase 'nginx'
 )
)

Можно сохранить это условие ABAC в переменной оболочки с именем condition для использования в команде az role assignment create.

condition=$(cat <<'EOF' | tr -d '\n'
(
 (
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})
  AND
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'})
 )
 OR 
 (
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringEqualsIgnoreCase 'nginx'
 )
)
EOF
)

Вы можете проверить condition переменную, чтобы убедиться, что она правильна. Убедитесь, что при использовании переменной condition используются двойные кавычки (").

echo "$condition"

Перед выполнением назначения роли необходимо также запросить идентификатор ресурса реестра для --scope параметра. Параметр --scope всегда должен быть идентификатором ресурса реестра (без имени репозитория), даже для назначений ролей в определенном репозитории. Вы также можете указать группу ресурсов или область подписки для выполнения этого назначения ролей во всех реестрах в группе ресурсов или подписке.

scope=$(az acr show --name <registry-name> --resource-group <resource-group> --query "id" -o tsv)

Наконец, чтобы выполнить назначение роли, выполните следующую команду:

az role assignment create \
  --role "Container Registry Repository Reader" \
  --scope "$scope" \
  --assignee "[email protected]" \
  --description "Read access to a specific repository" \
  --condition "$condition" \
  --condition-version "2.0"

Ниже приведен пример выходных данных:

{
    "canDelegate": null,
    "condition": "( (  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})  AND  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'}) ) OR  (  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringEqualsIgnoreCase 'nginx' ))",
    "conditionVersion": "2.0",
    "description": "{description}",
    "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}",
    "name": "{roleAssignmentId}",
    "principalId": "{userObjectId}",
    "principalType": "User",
    "resourceGroup": "{resourceGroup}",
    "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}",
    "scope": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.ContainerRegistry/registries/{registryName}",
    "type": "Microsoft.Authorization/roleAssignments"
}

Чтобы обновить или удалить назначение роли, можно использовать az role assignment update или az role assignment delete.

Назначить роль с областью действия нескольким хранилищам, используя префикс имени хранилища (подстановочный знак)

В этом примере мы назначим Container Registry Repository Reader роль, чтобы предоставить разрешения на извлечение нескольким репозиториям с общим префиксом (подстановочным знаком). Добавив условия ABAC, это назначение роли позволяет извлекать изображения, просматривать теги и читать метаданные только из репозиториев с общим префиксом, предотвращая доступ к другим репозиториям в реестре.

Портал Azure
Azure CLI

Если вы выполнили предыдущий пример, чтобы назначить Container Registry Repository Reader роль определенному репозиторию, необходимо удалить это назначение роли (перейдя в панель "Управление доступом (IAM)" и выбрав вкладку "Назначения ролей"), прежде чем создавать новое с условием ABAC, ограниченным префиксом репозитория.

Выполните те же действия, что и в предыдущем примере , чтобы выполнить назначение роли с условиями ABAC.

На шаге, чтобы добавить выражение для условия ABAC, настройте выражение для условия ABAC, чтобы ограничить назначение роли несколькими репозиториями с общим префиксом (подстановочным знаком). Настройте следующие параметры:

Источник атрибута: Request
Атрибут: Repository name
Оператор: StringStartsWithIgnoreCase
Значение: <repository-prefix> - префикс репозиториев, включая косую черту /.
- Например, чтобы предоставить разрешения всем репозиториям с префиксом backend/, такие как backend/nginx и backend/redis, введите backend/.
- Чтобы предоставить разрешения всем репозиториям с префиксом frontend/js/, например frontend/js/react и frontend/js/vueвведите frontend/js/.

Это важно

Треугольная скобка / необходима в выражении условия ABAC в Value поле. Если косая черта /не включена, вы можете непреднамеренно предоставить разрешения другим репозиториям, которые не соответствуют префиксу. Например, если вы вводите backend без завершающей косой черты /, назначение роли предоставляет разрешения для всех репозиториев с префиксом backend, таких как backend/nginx, backend/redis, backend-infra/k8s, backend-backup/store, backend и backendsvc/containers.

Нажмите кнопку "Сохранить", чтобы сохранить условие ABAC.

Просмотрите условие ABAC для назначения роли. На странице обзора содержится выражение кода условия ABAC, которое можно использовать для назначения той же роли с тем же условием ABAC, используя Azure CLI.

Выполните назначение роли, нажав кнопку "Проверить и назначить".

Если вы следовали предыдущему примеру, чтобы назначить Container Registry Repository Reader роль определенному репозиторию, необходимо удалить это назначение роли (с помощью az role assignment delete), прежде чем создать новую с условием ABAC, заданным префиксом репозитория.

Чтобы добавить назначение ролей с условием ABAC в область действия нескольких репозиториев в префиксе, используйте az role assignment create.

Используйте следующее выражение для условия ABAC, чтобы ограничить назначение роли репозиторием nginx:

(
 (
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})
  AND
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'})
 )
 OR 
 (
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'backend/'
 )
)

Вы можете сохранить это условие ABAC в переменной оболочки с именем condition, чтобы использовать в команде az role assignment create.

condition=$(cat <<'EOF' | tr -d '\n'
(
 (
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})
  AND
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'})
 )
 OR 
 (
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'backend/'
 )
)
EOF
)

echo "$condition"

Перед выполнением назначения роли необходимо также запросить идентификатор ресурса реестра для --scope параметра. Параметр --scope всегда должен быть идентификатором ресурса реестра (без имени репозитория), даже для назначений ролей в префиксе репозитория. Вы также можете указать группу ресурсов или область подписки для выполнения этого назначения ролей во всех реестрах в группе ресурсов или подписке.

scope=$(az acr show --name <registry-name> --resource-group <resource-group> --query "id" -o tsv)

Наконец, чтобы выполнить назначение роли, выполните следующую команду:

az role assignment create \
  --role "Container Registry Repository Reader" \
  --scope "$scope" \
  --assignee "[email protected]" \
  --description "Read access to a multiple repositories under a repository prefix" \
  --condition "$condition" \
  --condition-version "2.0"

Ниже приведен пример выходных данных:

{
    "canDelegate": null,
    "condition": "( (  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})  AND  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'}) ) OR  (  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'backend/' ))",
    "conditionVersion": "2.0",
    "description": "{description}",
    "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}",
    "name": "{roleAssignmentId}",
    "principalId": "{userObjectId}",
    "principalType": "User",
    "resourceGroup": "{resourceGroup}",
    "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}",
    "scope": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.ContainerRegistry/registries/{registryName}",
    "type": "Microsoft.Authorization/roleAssignments"
}

Чтобы обновить или удалить назначение роли, можно использовать az role assignment update или az role assignment delete.

Назначение роли с ограниченным доступом к нескольким хранилищам данных с использованием множественных префиксов репозитория (множество шаблонных символов)

В этом примере мы назначим Container Registry Repository Reader роль, чтобы предоставить права чтения нескольким репозиториям под двумя разными префиксами (несколько подстановочных символов). Добавив условия ABAC, это назначение роли позволяет извлекать изображения удостоверения, просматривать теги и читать метаданные только из указанного репозитория, предотвращая доступ к другим репозиториям в реестре.

Портал Azure
Azure CLI

Если вы следовали предыдущему примеру, чтобы назначить роль Container Registry Repository Reader определенному репозиторию, необходимо удалить это назначение роли (перейдя в раздел "Управление доступом (IAM)" и выбрав вкладку "Назначения ролей"), прежде чем создать новое с условием ABAC, заданным для префикса репозитория.

Выполните те же действия, что и в предыдущем примере , чтобы выполнить назначение роли с условиями ABAC.

На шаге добавления выражения для условия ABAC настройте два выражения для области применения роли в нескольких хранилищах данных под двумя префиксами: backend/ и frontend/js/ (несколько подстановочных знаков).

Для первого выражения настройте следующие параметры:

Источник атрибута: Request
Атрибут: Repository name
Оператор: StringStartsWithIgnoreCase
Значение: <repository-prefix> - префикс репозиториев, включая косую черту /.
- Например, чтобы предоставить разрешения всем репозиториям с префиксом backend/, таким как backend/nginx и backend/redis, введите backend/.
- Чтобы предоставить разрешения всем репозиториям с префиксом frontend/js/, например frontend/js/react и frontend/js/vueвведите frontend/js/.

Нажмите кнопку "Добавить выражение". Убедитесь, что логический оператор имеет значение Or. При необходимости можно выбрать "Группировать" для группирования выражений и управлять порядком оценки. Визуальный редактор также поддерживает несколько логических операторов, включая "And", "Or", иерархическую группировку и отрицание.

Для второго выражения настройте следующие параметры:

Источник атрибута: Request
Атрибут: Repository name
Оператор: StringStartsWithIgnoreCase
Значение: <repository-prefix> - префикс репозиториев, включая косую черту /.
- Например, чтобы предоставить разрешения всем репозиториям с префиксом backend/, таким как backend/nginx и backend/redis, введите backend/.
- Чтобы предоставить разрешения всем репозиториям с префиксом frontend/js/, например frontend/js/react и frontend/js/vueвведите frontend/js/.

Это важно

Закрывающая косая черта / требуется в Value поле для выражения условия ABAC. Если косая черта /не включена, вы можете непреднамеренно предоставить разрешения другим репозиториям, которые не соответствуют префиксу. Например, если вы вводите backend без завершающей косой черты /, назначение роли предоставляет разрешения для всех репозиториев с префиксом backend, например backend/nginx, backend/redis, backend-infra/k8s, backend-backup/store, backend и backendsvc/containers.

Нажмите кнопку "Сохранить", чтобы сохранить условие ABAC.

Просмотрите условие назначения роли в системе ABAC. Страница обзора включает в себя кодовое выражение условия ABAC, которое можно использовать для осуществления того же назначения роли с тем же условием ABAC с помощью Azure CLI.

Выполните назначение роли, нажав кнопку "Проверить и назначить".

Чтобы добавить назначение роли с условием ABAC, охватывающим несколько репозиториев и несколько префиксов, используйте az role assignment create.

Используйте следующее выражение для условия ABAC, чтобы ограничить назначение роли репозиторием nginx:

(
 (
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})
  AND
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'})
 )
 OR 
 (
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'backend/'
  OR
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'frontend/js/'
 )
)

Вы можете сохранить это условие ABAC в переменной оболочки с именем condition для использования в команде az role assignment create.

condition=$(cat <<'EOF' | tr -d '\n'
(
 (
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})
  AND
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'})
 )
 OR 
 (
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'backend/'
  OR
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'frontend/js/'
 )
)
EOF
)

echo "$condition"

Перед выполнением назначения ролей необходимо также запросить идентификатор ресурса реестра для параметра --scope. Параметр --scope всегда должен быть идентификатором ресурса реестра (без имени репозитория), даже если назначения ролей ограничены несколькими префиксами репозитория. Вы также можете указать группу ресурсов или область подписки для выполнения этого назначения ролей во всех реестрах в группе ресурсов или подписке.

scope=$(az acr show --name <registry-name> --resource-group <resource-group> --query "id" -o tsv)

Наконец, чтобы выполнить назначение роли, выполните следующую команду:

az role assignment create \
  --role "Container Registry Repository Reader" \
  --scope "$scope" \
  --assignee "[email protected]" \
  --description "Read access to a multiple repositories under multiple repository prefixes" \
  --condition "$condition" \
  --condition-version "2.0"

Ниже приведен пример выходных данных:

{
    "canDelegate": null,
    "condition": "( (  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})  AND  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'}) ) OR  (  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'backend/' ))",
    "conditionVersion": "2.0",
    "description": "{description}",
    "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}",
    "name": "{roleAssignmentId}",
    "principalId": "{userObjectId}",
    "principalType": "User",
    "resourceGroup": "{resourceGroup}",
    "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}",
    "scope": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.ContainerRegistry/registries/{registryName}",
    "type": "Microsoft.Authorization/roleAssignments"
}

Чтобы обновить или удалить назначение роли, можно использовать az role assignment update или az role assignment delete.

Максимальное количество условий ABAC

Портал Azure поддерживает ограниченное количество условий ABAC на назначение ролей.

Чтобы добавить больше условий ABAC, чем позволяет лимит портала Azure, вы можете использовать Azure CLI для создания назначения роли с дополнительными условиями ABAC.

Дальнейшие шаги

Общие сведения об этих встроенных ролях, включая поддерживаемые типы удостоверений назначения ролей, шаги по выполнению назначения ролей и рекомендуемые роли для распространенных сценариев, см. Встроенные роли RBAC для реестра контейнеров Azure.
Чтобы выполнить назначение ролей с необязательными условиями Microsoft Entra ABAC для ограничения назначений ролей на определенные репозитории, см. раздел разрешения репозитория на основе Microsoft Entra.
Подробные сведения о каждой встроенной роли ACR, включая разрешения, предоставленные каждой ролью, см. в справочнике по каталогу ролей реестра контейнеров Azure.
Дополнительные сведения о создании пользовательских ролей, отвечающих вашим потребностям и требованиям, см. в разделе "Настраиваемые роли реестра контейнеров Azure".

Поделиться через

Контроль доступа на основе атрибутов Microsoft Entra (ABAC) для разрешений репозитория (предварительная версия)

Настройка режима разрешений назначения ролей реестра

Влияние на существующие назначения ролей

Создание реестра с включенным ABAC

Обновление существующего реестра для включения ABAC

Назначение прав доступа для репозитория Microsoft Entra ABAC

Встроенные роли с поддержкой ABAC

Назначение ролей области определенному репозиторию

Назначить роль с областью действия нескольким хранилищам, используя префикс имени хранилища (подстановочный знак)

Назначение роли с ограниченным доступом к нескольким хранилищам данных с использованием множественных префиксов репозитория (множество шаблонных символов)

Максимальное количество условий ABAC

Дальнейшие шаги

Обратная связь

Дополнительные ресурсы