Разрешения репозитория на основе атрибутов Azure (Azure ABAC) в реестре контейнеров Azure

Реестр контейнеров Azure (ACR) поддерживает управление доступом на основе атрибутов Azure (Azure ABAC) для управления разрешениями репозитория. Эта функция повышает безопасность, обеспечивая более детализированное управление разрешениями в репозиториях реестра контейнеров.

Azure ABAC основывается на управлении доступом на основе ролей Azure (Azure RBAC), введя условия для конкретного репозитория в назначениях ролей. С помощью Azure ABAC можно предоставить субъекту безопасности доступ к ресурсу репозитория на основе атрибутов.

В этой статье описывается, как включить Azure ABAC для разрешений репозитория в реестре контейнеров, изменения режима разрешений назначения ролей и настройки назначений ролей с условиями ABAC.

Настройка параметра режима разрешений назначения ролей

Чтобы использовать Azure ABAC для управления разрешениями репозитория, задайте режим разрешений назначения ролей для реестра в реестре RBAC и разрешениях репозитория ABAC. Этот режим позволяет использовать необязательные условия ABAC для ограничения назначения ролей к конкретным репозиториям, а также назначения ролей RBAC с помощью встроенных ролей ACR.

Можно настроить режим разрешений назначения ролей при создании реестра или обновить параметр в любом существующем реестре. Эту конфигурацию можно задать с помощью портала Azure или Azure CLI.

Если вы измените параметр существующего реестра, обязательно изучите последствия существующих назначений ролей и задач, как описано в следующих разделах.

Замечание

Убедитесь, что установлена последняя версия Azure CLI, выполнив команду az upgradeAzure CLI. Кроме того, если вы ранее приняли участие в закрытой предварительной версии этой функции, возможно, вы установили пользовательское расширение частной предварительной версии для управления ACR ABAC. Это пользовательское расширение больше не требуется и следует удалить (чтобы избежать конфликтов), выполнив команду az extension remove --name acrabacAzure CLI.

Влияние на существующие назначения ролей

Если вы настроите реестр для использования прав доступа реестра RBAC + разрешений репозитория ABAC, помните, что некоторые существующие назначения ролей не будут учтены или будут иметь различные последствия. Другой набор встроенных ролей ACR применяется к реестрам с поддержкой ABAC.

Например, роли AcrPull, AcrPush и AcrDelete не учитываются в реестре с включенной поддержкой ABAC. Вместо этого в реестрах с поддержкой ABAC используйте роли Container Registry Repository Reader, Container Registry Repository Writer, и Container Registry Repository Contributor для предоставления разрешений на использование образов на уровне реестра или репозитория.

Кроме того, привилегированные роли, такие как Owner, Contributorи Reader имеют различные эффекты в реестре с поддержкой ABAC. В этих репозиториях эти привилегированные роли предоставляют только разрешения уровня управления для создания, обновления и удаления самого реестра без предоставления разрешений уровня данных репозиториям и образам в реестре.

Дополнительные сведения об этих ролях см. в разделе "Разрешения реестра контейнеров Azure" и общие сведения о назначениях ролей. Помимо этого, обратитесь к справочнику по встроенным ролям ACR для получения подробного описания каждой роли.

Влияние на задачи ACR, быстрые задачи, быстрые сборки и быстрые запуски

Если вы настроите реестр для использования реестра RBAC и разрешений репозитория ABAC, новые и существующие задачи ACR, а также быстрые задачи, быстрые сборки и быстрые запуски будут затронуты. Они больше не имеют доступа уровня данных по умолчанию к исходному реестру с поддержкой ABAC и его содержимому.

Сведения о последствиях этого изменения и о том, как предоставить доступ к плоскости данных для задач ACR, быстрых задач, быстрых сборок и быстрых запусков в исходных реестрах с поддержкой ABAC, см. в статье «Эффекты включения ABAC на задачи ACR, быстрые задачи, быстрые сборки и быстрые запуски».

Создание реестра с включенным ABAC

Azure ABAC можно включить с помощью портала Azure или Azure CLI.

Портал Azure
Azure CLI

При создании нового реестра на портале Azure выберите RBAC Registry + ABAC Repository Permissions для режима назначения ролей.

Снимок экрана: параметры создания реестра контейнеров на портале.

При выполнении az acr create используйте параметр --role-assignment-mode, чтобы задать режим разрешений назначения ролей. Укажите rbac-abac , чтобы создать реестр с включенной функцией Azure ABAC:

az acr create --name <registry-name> --resource-group <resource-group> --sku <sku> --role-assignment-mode 'rbac-abac' --location <location>

Обновление существующего реестра для включения ABAC

Это важно

Изменение режима разрешений назначения ролей существующего реестра может повлиять на существующие назначения ролей и задачи, как описано в предыдущих разделах. Перед изменением параметра обязательно просмотрите эти эффекты.

Портал Azure
Azure CLI

Чтобы просмотреть существующий режим разрешений назначения ролей реестра, перейдите в реестр на портале Azure. В меню службы в разделе "Параметры" выберите "Свойства", а затем проверьте параметр режима разрешений назначения ролей .

Чтобы включить Azure RBAC, выберите реестр RBAC и разрешения репозитория ABAC, а затем нажмите кнопку "Сохранить".

При выполнении az acr update используйте параметр --role-assignment-mode, чтобы установить режим назначения разрешений ролей реестра. Укажите rbac-abac, чтобы создать реестр с включенными разрешениями репозитория RBAC и ABAC.

Чтобы отобразить текущий режим разрешений назначения ролей реестра, выполните следующую команду:

az acr show --name <registry-name> --resource-group <resource-group> --query "roleAssignmentMode"

Чтобы обновить существующий реестр, чтобы включить Azure ABAC, выполните следующую команду:

az acr update --name <registry-name> --resource-group <resource-group> --role-assignment-mode 'rbac-abac'

Настройка разрешений репозитория AZURE ABAC

Вы можете использовать портал Azure или Azure CLI для назначения условий Azure ABAC для области назначений ролей определенным репозиториям.

Подсказка

Портал Azure поддерживает ограниченное количество условий ABAC на назначение ролей. Чтобы добавить дополнительные условия ABAC, используйте Azure CLI.

В этом разделе приведены примеры добавления условий ABAC для определенного репозитория, префикса репозитория (подстановочный знак) или нескольких префиксов репозитория (несколько подстановочных знаков).

Встроенные роли с поддержкой ABAC

Следующие встроенные роли ACR — это роли с включенной функцией ABAC. Необязательные условия ABAC можно указать для следующих ролей, чтобы ограничить назначения ролей определенными репозиториями.

Container Registry Repository Reader — роль с поддержкой ABAC, которая предоставляет разрешения на чтение изображений, тегов и метаданных в репозиториях в реестре.
Container Registry Repository Writer — роль с поддержкой ABAC, которая предоставляет разрешения на чтение, запись и обновление изображений, тегов и метаданных в репозиториях в реестре.
Container Registry Repository Contributor — роль с поддержкой ABAC, которая предоставляет разрешения на чтение, запись, обновление и удаление изображений, тегов и метаданных в репозиториях в реестре.

Эти роли не поддерживают разрешения на отображение каталогов, чтобы перечислять репозитории в реестре. Чтобы перечислить все репозитории в реестре (без предоставления разрешений на чтение содержимого репозитория), необходимо также назначить Container Registry Repository Catalog Lister роль. Эта отдельная роль не поддерживает условия ABAC, поэтому всегда имеет полномочия на отображение всех репозиториев в реестре.

Это важно

Если вы назначаете роль с поддержкой ABAC без условий ABAC, назначение роли не привязано к репозиториям. Это назначение ролей выступает в качестве назначения ролей на уровне реестра, предоставляя разрешения всем репозиториям в реестре. Чтобы задать область назначения ролей определенным репозиториям, включите условия ABAC при назначении роли с поддержкой ABAC.

Дополнительные сведения об этих ролях см. в разделе "Разрешения реестра контейнеров Azure" и обзор назначений ролей и справочник по встроенным ролям ACR.

Назначение ролей области определенному репозиторию

В этом примере назначается роль Container Registry Repository Reader для предоставления разрешений на чтение для одного репозитория. Добавив условия ABAC, назначение ролей позволяет загружать образы, просматривать теги и читать метаданные только из указанного репозитория, предотвращая доступ к другим репозиториям в регистре.

Портал Azure
Azure CLI

Перейдите в реестр на портале Azure. В меню службы выберите элемент управления доступом (IAM).
Выберите Добавить, затем выберите Добавить назначение ролей.
Найдите Container Registry Repository Reader. Выберите ее и нажмите кнопку "Далее".
На вкладке "Члены" укажите учетную запись, которой должна быть назначена эта роль, и выберите "Далее".
На вкладке "Условия " выберите "Добавить условие".
Убедитесь, что выбран визуальный для типа редактора.
В разделе "Условие 1" выберите действия (разрешения), принадлежащие этой роли, которую вы хотите предоставить в этом назначении ролей в области репозитория. В большинстве случаев выберите все действия, чтобы ограничить их выполнение идентификаторами с этой ролью в области репозитория. Нажмите кнопку ОК, чтобы сохранить изменения.
Затем в разделе Создать выражение выберите Добавить выражение. Настройте следующие параметры выражения для ограничения условия ABAC для определенного репозитория.
- Источник атрибута: Request
- Атрибут: Repository name
- Оператор: StringEqualsIgnoreCase
- Значение: <repository-name> — полное имя репозитория
Нажмите кнопку "Сохранить ", чтобы сохранить условие ABAC, а затем просмотрите выражение кода условия ABAC. Этот код можно использовать для выполнения того же назначения ролей с тем же условием ABAC с помощью Azure CLI.
Выберите Рецензирование и назначение, чтобы завершить назначение роли.

После создания назначения роли вы можете просмотреть, изменить или удалить его на странице управления доступом (IAM) реестра, выбрав назначения ролей.

Чтобы добавить назначение ролей с условием ABAC в определенный репозиторий, используйте az role assignment create. Эта команда включает следующие параметры, связанные с условиями ABAC:

Параметр	Тип	Описание
`role`	Струна	Имя или идентификатор назначаемой роли, например `Container Registry Repository Reader`.
`scope`	Струна	Полный идентификатор ресурса в реестре. Используйте идентификатор ресурса реестра (без имени репозитория), даже для назначений ролей в определенном репозитории с форматом `/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.ContainerRegistry/registries/{registry-name}`. Вы также можете указать группу ресурсов или область подписки для выполнения этого назначения ролей во всех реестрах в группе ресурсов или подписке.
`assignee`	Струна	Адрес электронной почты или идентификатор объекта для назначения роли. Например, укажите `user@contoso.com` для назначаемого пользователя. Можно также указать идентификатор объекта идентичности.
`assignee-object-id`	Струна	Используйте этот параметр вместо `--assignee`, чтобы обойти вызов API Graph, если недостаточно привилегий. Этот параметр работает только с идентификаторами объектов для пользователей, групп, служебных принципалов и управляемых удостоверений. Для управляемых удостоверений используйте идентификатор принципала. Для субъектов-служб используйте идентификатор объекта, а не идентификатор приложения.
`description`	Струна	Описание для назначения роли, которое помогает определить ее цель. Это необязательный параметр.
`condition`	Струна	Выражение кода, определяющее условие ABAC для назначения роли.
`condition-version`	Струна	Версия синтаксиса условия. Если `--condition` задано без `--condition-version`, для версии устанавливается значение `2.0` по умолчанию.

Чтобы создать выражение для условия ABAC, рекомендуется использовать визуальный редактор в интерфейсе назначения ролей портала Azure. В этом примере используйте следующее выражение для условия ABAC, чтобы ограничить назначение роли репозиторием hello-world:

(
 (
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})
  AND
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'})
 )
 OR 
 (
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringEqualsIgnoreCase 'hello-world'
 )
)

Это условие ABAC можно сохранить в переменной оболочки с именем condition, чтобы использовать в команде az role assignment create.

condition=$(cat <<'EOF' | tr -d '\n'
(
 (
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})
  AND
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'})
 )
 OR 
 (
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringEqualsIgnoreCase 'hello-world'
 )
)
EOF
)

condition Внимательно проверьте переменную, чтобы убедиться, что она правильна. Не забудьте использовать двойные кавычки (") всякий раз, когда используется condition переменная.

echo "$condition"

Перед выполнением назначения роли запросите идентификатор ресурса реестра для --scope параметра. Всегда используйте идентификатор ресурса реестра (без имени репозитория) для --scope параметра, даже для назначений ролей в определенном репозитории. Вы также можете указать группу ресурсов или область подписки для выполнения этого назначения ролей во всех реестрах в группе ресурсов или подписке.

scope=$(az acr show --name <registry-name> --resource-group <resource-group> --query "id" -o tsv)

Наконец, выполните следующую команду, чтобы выполнить назначение роли:

az role assignment create \
  --role "Container Registry Repository Reader" \
  --scope "$scope" \
  --assignee "user@contoso.com" \
  --description "Read access to a specific repository" \
  --condition "$condition" \
  --condition-version "2.0"

Ниже приведен пример выходных данных:

{
    "canDelegate": null,
    "condition": "( (  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})  AND  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'}) ) OR  (  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringEqualsIgnoreCase 'hello-world' ))",
    "conditionVersion": "2.0",
    "description": "{description}",
    "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}",
    "name": "{roleAssignmentId}",
    "principalId": "{userObjectId}",
    "principalType": "User",
    "resourceGroup": "{resourceGroup}",
    "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}",
    "scope": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.ContainerRegistry/registries/{registryName}",
    "type": "Microsoft.Authorization/roleAssignments"
}

Чтобы обновить или удалить назначение роли, используйте az role assignment update или az role assignment delete.

Назначить роль с областью действия нескольким хранилищам, используя префикс имени хранилища (подстановочный знак)

Вы назначаете роль Container Registry Repository Reader для предоставления разрешений на извлечение нескольким репозиториям с общим префиксом (подстановочным знаком). При добавлении условий ABAC это назначение роли позволяет загружать изображения, просматривать теги и читать метаданные только из репозиториев с общим префиксом, исключая доступ к другим репозиториям в реестре.

Портал Azure
Azure CLI

Если вы выполнили предыдущий пример, чтобы назначить Container Registry Repository Reader роль определенному репозиторию, удалите это назначение роли перед созданием новой. Вы можете удалить назначение в элементе управления доступом (IAM), выбрав назначения ролей, выбрав назначение роли, а затем нажмите кнопку "Удалить".

Выполните те же действия, что и в предыдущем примере , чтобы выполнить назначение роли с условиями ABAC.
На шаге, чтобы добавить выражение для условия ABAC, настройте выражение для условия ABAC, чтобы ограничить назначение роли несколькими репозиториями с общим префиксом (подстановочным знаком). Настройте следующие параметры:
- Источник атрибута: Request
- Атрибут: Repository name
- Оператор: StringStartsWithIgnoreCase
- Значение: <repository-prefix> - префикс репозиториев, включая завершающую косую черту /. Например, чтобы предоставить разрешения всем репозиториям с префиксом backend/, такие как backend/nginx и backend/redis, введите backend/. Чтобы предоставить разрешения всем репозиториям с префиксом frontend/js/, например frontend/js/react и frontend/js/vueвведите frontend/js/.
  
  Это важно
  
  Треугольная скобка / необходима в выражении условия ABAC в Value поле. Если косая черта /не включена, вы можете непреднамеренно предоставить разрешения другим репозиториям, которые не соответствуют префиксу. Например, если вы вводите backend без завершающей косой черты /, назначение роли предоставляет разрешения для всех репозиториев с префиксом backend, таких как backend/nginx, backend/redis, backend-infra/k8s, backend-backup/store, backend и backendsvc/containers.
Нажмите кнопку "Сохранить ", чтобы сохранить условие ABAC, а затем просмотрите выражение кода условия ABAC.
Выберите Рецензирование и назначение, чтобы завершить назначение роли.

Если вы следовали предыдущему примеру, чтобы назначить Container Registry Repository Reader роль определенному репозиторию, удалите назначение этой роли (с помощью az role assignment delete) перед созданием новой с условием ABAC, применяемым к префиксу репозитория.

Чтобы добавить назначение ролей с условием ABAC в пределах нескольких репозиториев под префиксом, используйте az role assignment create.

(
 (
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})
  AND
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'})
 )
 OR 
 (
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'backend/'
 )
)

Выполните действия, описанные в первом разделе , чтобы сохранить это условие ABAC в переменной оболочки с именем condition и запросить идентификатор ресурса реестра для --scope параметра. Затем выполните назначение роли, выполнив следующую команду:

az role assignment create \
  --role "Container Registry Repository Reader" \
  --scope "$scope" \
  --assignee "user@contoso.com" \
  --description "Read access to a multiple repositories under a repository prefix" \
  --condition "$condition" \
  --condition-version "2.0"

Ниже приведен пример выходных данных:

{
    "canDelegate": null,
    "condition": "( (  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})  AND  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'}) ) OR  (  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'backend/' ))",
    "conditionVersion": "2.0",
    "description": "{description}",
    "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}",
    "name": "{roleAssignmentId}",
    "principalId": "{userObjectId}",
    "principalType": "User",
    "resourceGroup": "{resourceGroup}",
    "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}",
    "scope": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.ContainerRegistry/registries/{registryName}",
    "type": "Microsoft.Authorization/roleAssignments"
}

Назначение роли с ограниченным доступом к нескольким хранилищам данных с использованием множественных префиксов репозитория (множество шаблонных символов)

В этом примере вы назначаете роль Container Registry Repository Reader, чтобы предоставить разрешения на чтение нескольким репозиториям, соответствующим двум различным шаблонам префиксов (несколько подстановочных знаков). Добавив условия ABAC, это назначение ролей позволяет извлекать изображения удостоверения, просматривать теги и читать метаданные только из указанных репозиториев, предотвращая доступ к другим репозиториям в реестре.

Портал Azure
Azure CLI

Если вы выполнили предыдущий пример, чтобы назначить Container Registry Repository Reader роль определенному префиксу репозитория, удалите это назначение роли перед созданием нового. Вы можете удалить назначение в элементе управления доступом (IAM), выбрав назначения ролей, выбрав назначение роли, а затем нажмите кнопку "Удалить".

Выполните те же действия, что и в первом примере , чтобы выполнить назначение роли с условиями ABAC.
На шаге добавления выражения для условия ABAC настройте два выражения для области применения роли в нескольких хранилищах данных под двумя префиксами: backend/ и frontend/js/ (несколько подстановочных знаков). Включите косую черту / в каждый префикс.

Для первого выражения настройте следующие параметры:
- Источник атрибута: Request
- Атрибут: Repository name
- Оператор: StringStartsWithIgnoreCase
- Значение: backend/
Выберите Добавить выражение. Визуальный редактор также поддерживает несколько логических операторов, включая And, Or, иерархическое группирование и отрицание. В этом примере убедитесь, что логический оператор имеет значение Or.
Для второго выражения настройте следующие параметры:
- Источник атрибута: Request
- Атрибут: Repository name
- Оператор: StringStartsWithIgnoreCase
- Значение: frontend/js/
Нажмите кнопку "Сохранить ", чтобы сохранить условие ABAC, а затем просмотрите выражение кода условия ABAC.
Выберите Рецензирование и назначение, чтобы завершить назначение роли.

Если вы следовали предыдущему примеру, чтобы назначить Container Registry Repository Reader роль определенному префиксу репозитория, удалите это назначение роли (с помощью az role assignment delete), перед созданием нового с условием ABAC, применённым к префиксу репозитория.

(
 (
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})
  AND
  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'})
 )
 OR 
 (
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'backend/'
  OR
  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'frontend/js/'
 )
)

az role assignment create \
  --role "Container Registry Repository Reader" \
  --scope "$scope" \
  --assignee "user@contoso.com" \
  --description "Read access to a multiple repositories under multiple repository prefixes" \
  --condition "$condition" \
  --condition-version "2.0"

Ниже приведен пример выходных данных:

{
    "canDelegate": null,
    "condition": "( (  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/content/read'})  AND  !(ActionMatches{'Microsoft.ContainerRegistry/registries/repositories/metadata/read'}) ) OR  (  @Request[Microsoft.ContainerRegistry/registries/repositories:name] StringStartsWithIgnoreCase 'backend/' ))",
    "conditionVersion": "2.0",
    "description": "{description}",
    "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}",
    "name": "{roleAssignmentId}",
    "principalId": "{userObjectId}",
    "principalType": "User",
    "resourceGroup": "{resourceGroup}",
    "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}",
    "scope": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.ContainerRegistry/registries/{registryName}",
    "type": "Microsoft.Authorization/roleAssignments"
}

Эффекты включения ABAC на задачи ACR, быстрые задачи, быстрые сборки и быстрые запуски

Если вы включите Azure ABAC для разрешений репозитория в реестре контейнеров, установив режим разрешений назначения ролей на RBAC Registry + ABAC Repository Permissions, это затронет новые и существующие задачи ACR, а также Quick Tasks, Quick Builds и Quick Runs. Ознакомьтесь со следующими разделами, чтобы понять эти последствия и как предоставить доступ к плоскости данных для этих задач в исходных реестрах с поддержкой ABAC.

Влияние на задачи ACR

При настройке реестра с разрешениями репозитория RBAC и ABAC новые и существующие задачи ACR больше не имеют доступа к исходному реестру, включая изображения и артефакты в репозиториях.

Необходимо явно присоединить и задать идентификационные данные для новых и существующих задач ACR, чтобы использовать их для аутентификации в реестре источников с поддержкой ABAC. Затем предоставьте присоединенному удостоверению соответствующую встроенную роль ACR, чтобы включить проверку подлинности и доступ к репозиториям реестра.

Присоединение удостоверения к новой задаче ACR для доступа к исходному реестру

Для реестров источников с поддержкой ABAC используйте az acr task create с флагом --source-acr-auth-id для указания удостоверения, которое задача использует для аутентификации в исходном реестре.

Вы можете указать один из следующих параметров для флага --source-acr-auth-id :

--source-acr-auth-id [system] — закрепляет назначенное системой управляемое удостоверение.
--source-acr-auth-id $resourceId — прикрепляет назначенное пользователем управляемое удостоверение с использованием его идентификатора ресурса.

После того как вы присоедините удостоверение, назначьте ему встроенную роль ACR (необязательно с условиями ABAC) для предоставления соответствующих разрешений.

Обновление существующей задачи ACR для использования удостоверения для доступа к исходному реестру

Для реестров источников с поддержкой ABAC используйте az acr task update те же --source-acr-auth-id параметры, чтобы назначить или изменить удостоверение, используемое задачей для проверки подлинности в исходном реестре. Как и в случае с новыми задачами, выполните соответствующее назначение ролей.

Удаление доступа к исходному реестру из задачи ACR

Чтобы явно предотвратить проверку подлинности задачи ACR с помощью исходного реестра с поддержкой ABAC и заблокировать разрешения задачи в исходном реестре, задайте --source-acr-auth-id none. Это действие отключает возможность задачи выполнять любые операции в исходном реестре и содержимом в нем.

Замечание

Примечание. Флаг --auth-mode устарел для реестров с поддержкой ABAC и больше не поддерживается для управления доступом к задачам ACR.

Влияние на быстрые задачи, быстрые сборки и быстрые запуски

При настройке реестра с разрешениями репозитория RBAC и ABAC новые быстрые задачи, такие как быстрые сборки и быстрые запуски , больше не имеют доступа уровня данных по умолчанию к исходному реестру, включая его образы и артефакты в репозиториях. Для быстрых задач необходимо использовать идентификатор вызывающего для аутентификации быстрой задачи в исходном реестре. Удостоверение вызывающей стороны должно иметь соответствующую встроенную роль ACR, чтобы обеспечить проверку подлинности и доступ к репозиториям реестра.

Выполните быструю задачу с идентификацией вызывающего абонента для доступа к исходному реестру.

Для реестров источников с поддержкой ABAC используйте az acr build или az acr run с параметром --source-acr-auth-id [caller], чтобы указать идентификатор вызывающего в качестве идентификатора, который Quick Task использует для аутентификации в исходном реестре. Перед выполнением быстрой задачи убедитесь, что удостоверение вызывающего имеет соответствующую встроенную роль ACR для включения проверки подлинности и доступа к исходному реестру и его репозиториям.

Выполнение быстрой задачи без доступа к исходному реестру

Чтобы выполнить быструю задачу без доступа к исходному реестру, используйте az acr build или az acr run с параметром --source-acr-auth-id none . Этот параметр отключает возможность быстрой задачи выполнять любые операции в исходном реестре и содержимом в нем.

Общие сведения о встроенных ролях см. в разделе "Разрешения реестра контейнеров Azure" и общие сведения о назначениях ролей.
Подробные сведения о каждой встроенной роли ACR, включая разрешения, предоставленные каждой ролью, см. в справочнике по каталогу ролей реестра контейнеров Azure.
Сведения о создании пользовательских ролей, которые соответствуют вашим потребностям и требованиям, см. в разделе "Пользовательский реестр контейнеров Azure".

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-12-12

Поделиться через

Разрешения репозитория на основе атрибутов Azure (Azure ABAC) в реестре контейнеров Azure

Настройка параметра режима разрешений назначения ролей

Влияние на существующие назначения ролей

Влияние на задачи ACR, быстрые задачи, быстрые сборки и быстрые запуски

Создание реестра с включенным ABAC

Обновление существующего реестра для включения ABAC

Настройка разрешений репозитория AZURE ABAC

Встроенные роли с поддержкой ABAC

Назначение ролей области определенному репозиторию

Назначить роль с областью действия нескольким хранилищам, используя префикс имени хранилища (подстановочный знак)

Назначение роли с ограниченным доступом к нескольким хранилищам данных с использованием множественных префиксов репозитория (множество шаблонных символов)

Эффекты включения ABAC на задачи ACR, быстрые задачи, быстрые сборки и быстрые запуски

Влияние на задачи ACR

Присоединение удостоверения к новой задаче ACR для доступа к исходному реестру

Обновление существующей задачи ACR для использования удостоверения для доступа к исходному реестру

Удаление доступа к исходному реестру из задачи ACR

Влияние на быстрые задачи, быстрые сборки и быстрые запуски

Выполните быструю задачу с идентификацией вызывающего абонента для доступа к исходному реестру.

Выполнение быстрой задачи без доступа к исходному реестру

Связанный контент

Обратная связь

Дополнительные ресурсы