Справочник по каталогу ролей реестра контейнеров Azure

Участник реестра контейнеров и администратор конфигурации доступа к данным

• Вариант использования: идеально подходит для администраторов реестра, конвейеров CI/CD или автоматизированных процессов, необходимых для создания и настройки реестров, настройки механизмов проверки подлинности реестра, управления доступом к сети реестра и управления политиками реестра без необходимости отправлять и извлекать образы или назначать роли.
• Разрешения: предоставляет доступ уровня управления для создания, настройки и управления реестрами и конфигураций реестра, включая параметры проверки подлинности, маркеры, частные конечные точки, сетевой доступ и политики реестра. Не включает операции уровня данных (например, загрузку и извлечение изображений) или функционал назначений ролей.
  • Разрешения плоскости управления:
    • Создание, обновление, просмотр, список и удаление реестров (включая номера SKU реестра и зоны доступности и избыточность зоны)
    • Просмотр и перечисление (но не управление) назначений ролей для реестров
    • Управление георепликациями
    • Управление подключенными реестрами
    • Обновление конфигурации реестра
      • Настройте управляемое удостоверение, назначаемое системой реестра. Примечание: для управления управляемым удостоверением, назначенным пользователем, требуется отдельная роль Managed Identity Operator.
      • Настройка параметров сетевого доступа (доступ к общедоступной сети, обход доверенных служб, правила брандмауэра сети, выделенные конечные точки данных и конечные точки службы виртуальной сети)
      • Настройка параметров частной конечной точки (настройка, утверждение, отклонение и перечисление подключений к частной конечной точке и ресурсов приватного канала)
      • Настройка параметров доступа к проверке подлинности (учетные данные для входа администратора, анонимные запросы, разрешения репозитория на основе токенов, отличные от Microsoft Entra, и аудитория маркеров Microsoft Entra как arm)
      • Настройте политики реестра (настройте политику сохранения данных, включение карантина по всему реестру, включение обратимого удаления, и политику защиты от утечки данных).
      • Примечание. Эта роль не предоставляет разрешения для управления, просмотра и перечисления артефактов в карантине или обратимо удаленных артефактов, предоставляя разрешения только на настройку параметров карантина и обратимого удаления для реестра.
    • Настройка параметров диагностики реестра и мониторинга (параметры диагностики , журналы, метрики, веб-перехватчики для реестров и георепликации и сетка событий)
  • Разрешения плоскости данных:
    • Отсутствует

Средство чтения конфигурации реестра контейнеров и средства чтения конфигурации доступа к данным

• Вариант использования: идеально подходит для аудиторов, систем мониторинга и сканеров уязвимостей, которые должны просматривать только реестры, механизмы проверки подлинности реестра, конфигурации доступа к сети аудита и просматривать политики реестра, не требуя разрешений на отправку и извлечение образов или назначение ролей.
• Разрешения: предоставляет доступ уровня управления для просмотра и списка реестров и конфигураций реестра, включая параметры проверки подлинности, маркеры, частные конечные точки, сетевой доступ и политики реестра. Не включает операции уровня данных (например, загрузку и извлечение изображений) или функционал назначений ролей.
  • Разрешения плоскости управления:
    • Просмотр и перечисление реестров (включая номера SKU реестра и зоны доступности и избыточность зоны)
    • Просмотр и перечисление (но не управление) назначений ролей для реестров
    • Просмотр и список георепликаций
    • Просмотр и перечисление подключенных реестров
    • Просмотр конфигурации реестра
      • Просмотр и перечисление как управляемого удостоверения, назначаемого системой реестра, так и управляемого удостоверения, назначаемого пользователем
      • Просмотр и перечисление параметров сетевого доступа (доступ к общедоступной сети, обход доверенных служб, правила брандмауэра сети, выделенные конечные точки данных и конечные точки службы виртуальной сети)
      • Просмотр и перечисление параметров частной конечной точки (настройка, утверждение, отклонение и перечисление подключений к частной конечной точке и ресурсов приватного канала)
      • Просмотр и перечисление настроек доступа аутентификации (учетные данные для входа администратора, анонимный запрос, разрешения репозитория на основе токенов, отличные от Microsoft Entra, и аудитория токенов аутентификации Microsoft Entra как arm)
      • Просмотр и перечень политик реестра (настройка политики хранения, включение карантина для всего реестра, разрешение мягкого удаления, и политика экспорта для предотвращения утечки данных)
      • Примечание. Эта роль не предоставляет разрешения на управление, просмотр или перечисление артефактов, находящихся в карантине или отмеченных для обратимого удаления, а предоставляет разрешения только на просмотр настроек карантина и мягкого удаления для реестра.
    • Настройка параметров диагностики реестра и мониторинга (параметры диагностики , журналы, метрики, веб-перехватчики для реестров и георепликации и сетка событий)
  • Разрешения плоскости данных:
    • Отсутствует

Участник задач реестра контейнеров

• Вариант использования: Назначение прав для идентификаций, таких как конвейеры CI/CD или средства автоматизации, которым необходимо управлять задачами ACR и связанными с ними ресурсами, без доступа к другим операциям реестра и данным изображения.
• Разрешения: Предоставляет доступ к управляющей плоскости для управления задачами ACR, включая определения задач, запуски, пулы агентов задач, оперативные задачи (оперативные сборки с az acr build и оперативные запуски с az acr run), журналы задач и удостоверения задач. Не включает разрешения уровня данных или доступ к конфигурации реестра за пределами задач.
  • Разрешения плоскости управления:
    • Управляйте задачами ACR, выполнением задач, пулами агентов задач, быстрыми задачами с az acr build (быстрые сборки и az acr run с ), журналами задач и идентификацией задач.
      • Предоставляет разрешения на настройку системы управляемой идентичности, назначенной задачей ACR. Примечание: для управления управляемой роли, назначенной пользователем для задачи ACR, требуется отдельная Managed Identity Operator роль.
      • Предоставляет разрешения для управления автоматической очисткой задач ACR
      • Для реестров с поддержкой ABAC задачи ACR, быстрые сборки и быстрые запуски не имеют разрешений уровня данных по умолчанию для отправки, извлечения или удаления изображений и тегов в репозиториях. См. воздействие включения ABAC на задачи ACR, быстрые задачи, быстрые сборки и быстрые запуски.
        • Для выполнения операций на плоскости данных задачи ACR, принадлежащие реестрам с поддержкой ABAC, должны иметь роли Container Registry Repository Reader/Writer/Contributor и Container Registry Repository Catalog Lister, назначенные идентификатору задачи.
        • Для выполнения операций на уровне данных удостоверение (вызывающий объект), инициирующее быструю задачу, должно иметь назначенные роли Container Registry Repository Reader/Writer/Contributor и Container Registry Repository Catalog Lister.
  • Разрешения плоскости данных:
    • Отсутствует

Участник конвейера передачи реестра контейнеров

• Вариант использования. Назначение конвейерам CI/CD или процессам автоматизации, которым необходимо управлять конвейерами передачи ACR для перемещения артефактов в пределах сети, клиента или пробела в воздухе. Эта роль идеально подходит, когда необходимо, чтобы передача данных осуществлялась через промежуточную учетную запись хранения Azure для соединения изолированных сред.
• Разрешения. Предоставляет доступ к плоскости управления для настройки и эксплуатации конвейеров импорта и экспорта ACR с помощью промежуточных учетных записей хранения, обеспечивая безопасную передачу артефактов между отключенными или сегментированных средами. Не включает разрешения уровня данных, более широкий доступ к реестру или разрешения для управления другими типами ресурсов Azure, такими как учетные записи хранения или хранилища ключей.
  • Разрешения плоскости управления:
    • Управление конвейерами передачи ACR для передачи артефактов между реестрами с помощью промежуточных учетных записей хранения через сеть, клиент или границы воздушного промежутка (импорт конвейеров, экспорт конвейеров и запуск конвейеров для импорта и экспорта)
  • Разрешения плоскости данных:
    • Отсутствует

Импорт данных реестра контейнеров и средство чтения данных

• Вариант использования: Назначение прав доступа для идентификаторов — таких как конвейеры CI/CD, — которым необходимо импортировать изображения из других реестров с помощью az acr import. Эта роль также позволяет считывать изображения и артефакты в реестре, чтобы проверить успешность операции импорта.
• Разрешения: Предоставляет доступ к плоскости управления для запуска импорта изображений с помощью az acr import, и доступ к плоскости данных для извлечения изображений и артефактов, просмотра содержимого репозитория, ссылок OCI, тегов и конфигураций потоковой передачи артефактов. Не допускает отправку или изменение содержимого в реестре.
  • Разрешения плоскости управления:
    • Запуск импорта изображений ACR с помощью az acr import
  • Разрешения плоскости данных:
    • Извлечение изображений и артефактов в репозиториях в реестре
    • Просмотр и перечисление артефактов направителей OCI в репозиториях реестра
    • Просмотр и перечисление изображений и метаданных артефактов, таких как теги (перечисление и чтение тегов) в репозиториях в реестре
    • Просмотр списка всех репозиториев (названия образов) в реестре
    • Просмотр конфигурации потоковой передачи артефактов для репозиториев и изображений (например, просмотр политик репозитория для автоматического преобразования потоковой передачи артефактов и просмотр конфигурации потоковой передачи артефактов для изображения)

Участник реестра контейнеров и администратор конфигурации доступа к данным

• Вариант использования: идеально подходит для администраторов реестра, конвейеров CI/CD или автоматизированных процессов, необходимых для создания и настройки реестров, настройки механизмов проверки подлинности реестра, управления доступом к сети реестра и управления политиками реестра без необходимости отправлять и извлекать образы или назначать роли.
• Разрешения: предоставляет доступ уровня управления для создания, настройки и управления реестрами и конфигураций реестра, включая параметры проверки подлинности, маркеры, частные конечные точки, сетевой доступ и политики реестра. Не включает операции уровня данных (например, загрузку и извлечение изображений) или функционал назначений ролей.
  • Разрешения плоскости управления:
    • Создание, обновление, просмотр, список и удаление реестров (включая номера SKU реестра и зоны доступности и избыточность зоны)
    • Просмотр и перечисление (но не управление) назначений ролей для реестров
    • Управление георепликациями
    • Управление подключенными реестрами
    • Обновление конфигурации реестра
      • Настройте управляемое удостоверение, назначаемое системой реестра. Примечание: для управления управляемым удостоверением, назначенным пользователем, требуется отдельная роль Managed Identity Operator.
      • Настройка параметров сетевого доступа (доступ к общедоступной сети, обход доверенных служб, правила брандмауэра сети, выделенные конечные точки данных и конечные точки службы виртуальной сети)
      • Настройка параметров частной конечной точки (настройка, утверждение, отклонение и перечисление подключений к частной конечной точке и ресурсов приватного канала)
      • Настройка параметров доступа к проверке подлинности (учетные данные для входа администратора, анонимный запрос, разрешения репозитория на основе токенов, не принадлежащих Entra, и аудитория маркеров аутентификации Entra как arm)
      • Настройка политик реестра (настройка политики хранения, включение карантина на уровне реестра, включение функции мягкого удаления и политика экспорта данных для предотвращения утечки)
      • Примечание. Эта роль не предоставляет разрешения для управления, просмотра и перечисления артефактов в карантине или обратимо удаленных артефактов, предоставляя разрешения только на настройку параметров карантина и обратимого удаления для реестра.
    • Настройка параметров диагностики реестра и мониторинга (параметры диагностики , журналы, метрики, веб-перехватчики для реестров и георепликации и сетка событий)
  • Разрешения плоскости данных:
    • Отсутствует

Средство чтения конфигурации реестра контейнеров и средства чтения конфигурации доступа к данным

• Вариант использования: идеально подходит для аудиторов, систем мониторинга и сканеров уязвимостей, которые должны просматривать только реестры, механизмы проверки подлинности реестра, конфигурации доступа к сети аудита и просматривать политики реестра, не требуя разрешений на отправку и извлечение образов или назначение ролей.
• Разрешения: предоставляет доступ уровня управления для просмотра и списка реестров и конфигураций реестра, включая параметры проверки подлинности, маркеры, частные конечные точки, сетевой доступ и политики реестра. Не включает операции уровня данных (например, загрузку и извлечение изображений) или функционал назначений ролей.
  • Разрешения плоскости управления:
    • Просмотр и перечисление реестров (включая номера SKU реестра и зоны доступности и избыточность зоны)
    • Просмотр и перечисление (но не управление) назначений ролей для реестров
    • Просмотр и список георепликаций
    • Просмотр и перечисление подключенных реестров
    • Просмотр конфигурации реестра
      • Просмотр и перечисление как управляемого удостоверения, назначаемого системой реестра, так и управляемого удостоверения, назначаемого пользователем
      • Просмотр и перечисление параметров сетевого доступа (доступ к общедоступной сети, обход доверенных служб, правила брандмауэра сети, выделенные конечные точки данных и конечные точки службы виртуальной сети)
      • Просмотр и перечисление параметров частной конечной точки (настройка, утверждение, отклонение и перечисление подключений к частной конечной точке и ресурсов приватного канала)
      • Просмотр и перечисление параметров доступа к проверке подлинности (учетные данные для входа администратора, анонимный доступ, разрешения репозитория на основе токенов, не принадлежащих Entra, и аудитория токенов с аутентификацией как arm)
      • Просмотр и перечень политик реестра (настройка политики хранения, включение карантина для всего реестра, разрешение мягкого удаления, и политика экспорта для предотвращения утечки данных)
      • Примечание: Эта роль не предоставляет разрешений для управления, просмотра и перечисления объектов, находящихся в карантине или обратимо удалённых, а предоставляет разрешения только для просмотра настроек карантина и обратимого удаления в реестре.
    • Настройка параметров диагностики реестра и мониторинга (параметры диагностики , журналы, метрики, веб-перехватчики для реестров и георепликации и сетка событий)
  • Разрешения плоскости данных:
    • Отсутствует

Участник задач реестра контейнеров

• Вариант использования: Назначение прав для идентификаций, таких как конвейеры CI/CD или средства автоматизации, которым необходимо управлять задачами ACR и связанными с ними ресурсами, без доступа к другим операциям реестра и данным изображения.
• Разрешения: Предоставляет доступ к управляющей плоскости для управления задачами ACR, включая определения задач, запуски, пулы агентов задач, оперативные задачи (оперативные сборки с az acr build и оперативные запуски с az acr run), журналы задач и удостоверения задач. Не включает разрешения уровня данных или доступ к конфигурации реестра за пределами задач.
  • Разрешения плоскости управления:
    • Управляйте задачами ACR, выполнением задач, пулами агентов задач, быстрыми задачами с az acr build (быстрые сборки и az acr run с ), журналами задач и идентификацией задач.
      • Настройте управляемое удостоверение задачи ACR, назначаемое системой. Примечание: для управления управляемой роли, назначенной пользователем для задачи ACR, требуется отдельная Managed Identity Operator роль.
      • Управление автоматической очисткой в задачах ACR
  • Разрешения плоскости данных:
    • Отсутствует

Участник конвейера передачи реестра контейнеров

• Вариант использования. Назначение конвейерам CI/CD или процессам автоматизации, которым необходимо управлять конвейерами передачи ACR для перемещения артефактов в пределах сети, клиента или пробела в воздухе. Эта роль идеально подходит, когда необходимо, чтобы передача данных осуществлялась через промежуточную учетную запись хранения Azure для соединения изолированных сред.
• Разрешения. Предоставляет доступ к плоскости управления для настройки и эксплуатации конвейеров импорта и экспорта ACR с помощью промежуточных учетных записей хранения, обеспечивая безопасную передачу артефактов между отключенными или сегментированных средами. Не включает разрешения уровня данных, более широкий доступ к реестру или разрешения для управления другими типами ресурсов Azure, такими как учетные записи хранения или хранилища ключей.
  • Разрешения плоскости управления:
    • Управление конвейерами передачи ACR для передачи артефактов между реестрами с помощью промежуточных учетных записей хранения через сеть, клиент или границы воздушного промежутка (импорт конвейеров, экспорт конвейеров и запуск конвейеров для импорта и экспорта)
  • Разрешения плоскости данных:
    • Отсутствует

Импорт данных реестра контейнеров и средство чтения данных

• Вариант использования: Назначение прав доступа для идентификаторов — таких как конвейеры CI/CD, — которым необходимо импортировать изображения из других реестров с помощью az acr import. Эта роль также позволяет считывать изображения и артефакты в реестре, чтобы проверить успешность операции импорта.
• Разрешения: Предоставляет доступ к плоскости управления для запуска импорта изображений с помощью az acr import, и доступ к плоскости данных для извлечения изображений и артефактов, просмотра содержимого репозитория, ссылок OCI, тегов и конфигураций потоковой передачи артефактов. Не допускает отправку или изменение содержимого в реестре.
  • Разрешения плоскости управления:
    • Запуск импорта изображений ACR с помощью az acr import
  • Разрешения плоскости данных:
    • Извлечение изображений и артефактов в репозиториях в реестре
    • Просмотр и перечисление артефактов-перенаправлений OCI в реестре репозиториев.
    • Просмотр и перечисление изображений и метаданных артефактов, таких как теги (перечисление и чтение тегов) в репозиториях в реестре
    • Просмотр и список всех хранилищ (имён образов) в реестре
    • Просмотр конфигурации потоковой передачи артефактов для репозиториев и изображений (например, просмотр политик репозитория для автоматического преобразования потоковой передачи артефактов и просмотр конфигурации потоковой передачи артефактов для изображения)

Читатель репозитория реестра контейнеров

• Вариант использования: назначение узлам хоста контейнера, оркестраторам, сканерам уязвимостей или разработчикам, которым необходимо извлекать образы и читать метаданные репозитория, без разрешений на загрузку или изменение содержимого.
• Разрешения: предоставляет доступ только для чтения на уровне данных для извлечения изображений и артефактов, просмотра тегов, репозиториев, ссылок Open Container Initiative (OCI) и конфигураций потоковой передачи артефактов. Не включает ни одного уровня управления или разрешений на запись.
  • Разрешения плоскости управления:
    • Отсутствует
  • Разрешения плоскости данных:
    • Извлечение изображений и артефактов в репозиториях в реестре
    • Просмотр и перечисление артефактов, на которые ссылается OCI, в репозиториях реестра
    • Просмотр и перечисление изображений и метаданных артефактов, таких как теги (перечисление и чтение тегов) в репозиториях в реестре
    • Не предоставляет разрешения для списка каталога репозиториев (разрешения для перечисления репозиториев в реестре)
    • Просмотр политик для репозиториев и изображений (включая репозиторий, образ, дайджест и блокировку тегов)
    • Просмотр конфигурации потоковой передачи объектов для конкретного образа
    • Просмотр конфигурации потоковой передачи артефактов для репозиториев (например, настройка или просмотр политик репозитория для автоматического преобразования потоковой передачи артефактов)
    • Не предоставляет разрешения для управления, просмотра и перечисления артефактов в карантине
    • Не предоставляет разрешения для управления, просмотра и перечисления обратимо удаленных артефактов
  • Поддержка ABAC: поддержка необязательных условий Microsoft Entra ABAC для определения назначений ролей в конкретных репозиториях.

Модуль записи репозитория реестра контейнеров

• Область применения: Назначайте для конвейеров CI/CD, средств автоматизации или разработчиков, которым необходимо отправлять и извлекать образы контейнеров, управлять тегами и работать с артефактами, не нуждаясь в контроле над конфигурацией реестра или параметрами. Также назначается автоматизированным процессам или службам, которые подписывают образы в рамках доверенной цепочки поставок.
• Разрешения: предоставляет доступ к плоскости данных для отправки и извлечения изображений и артефактов, чтения и управления тегами, чтения и управления ссылками OCI и включения (но не отключения) потоковой передачи артефактов для репозиториев и изображений. Не включает разрешения уровня управления.
  • Разрешения плоскости управления:
    • Отсутствует
  • Разрешения плоскости данных:
    • Отправка и извлечение изображений и артефактов в репозиториях в реестре
    • Создание, просмотр и перечисление артефактов ссылок OCI в репозиториях в реестре
    • Управление метаданными изображений и артефактов, такими как теги (создание, чтение, просмотр, повторная разметка и снятие тегов) в репозиториях в реестре
    • Не предоставляет разрешения на каталог репозиториев (на перечисление репозиториев в реестре)
    • Управление политиками для репозиториев и образов (включая репозиторий, образ, дайджест и блокировку тегов)
    • Включение (но не отключение) конфигурации потоковой передачи артефактов для определенного образа
    • Управление конфигурацией потоковой передачи артефактов для репозиториев (например, настройка или просмотр политик репозитория для автоматического преобразования потоковой передачи артефактов)
    • Не предоставляет разрешения для управления, просмотра и перечисления артефактов в карантине
    • Не предоставляет разрешения для управления, просмотра и перечисления временно удаленных артефактов
  • Поддержка ABAC: поддержка необязательных условий Microsoft Entra ABAC для определения назначений ролей в конкретных репозиториях.

Участник репозитория реестра контейнеров

• Вариант использования: Назначить учетным записям или службам, ответственным за управление жизненным циклом и очистку образов.
• Разрешения: предоставляет разрешения на чтение, запись, обновление и удаление изображений и артефактов, чтение и управление и удаление тегов, чтение и управление и удаление ссылок OCI и включение и отключение потоковой передачи артефактов для репозиториев и изображений. Не включает разрешения уровня управления.
  • Разрешения плоскости управления:
    • Отсутствует
  • Разрешения плоскости данных:
    • Отправка, извлечение и удаление изображений и артефактов в репозиториях в реестре
    • Создание, просмотр, перечисление и удаление артефактов-ссылок OCI в репозиториях реестра.
    • Управление и удаление метаданных изображений и артефактов, таких как теги (создание, чтение, перечисление, переметка, добавление тегов и удаление тегов) в репозиториях в реестре
    • Не предоставляет разрешения на список каталогов репозиториев (разрешения на просмотр репозиториев в реестре)
    • Управление политиками для репозиториев и образов (включая репозиторий, образ, дайджест и блокировку тегов)
    • Включение и отключениенастройки потоковой передачи артефактов для конкретного образа
      • Отключение поддержки потоковой передачи артефактов для определенного изображения путем удаления артефакта OCI для потоковой передачи изображения
    • Управление конфигурацией потоковой передачи артефактов для репозиториев (например, настройка или просмотр политик репозитория для автоматического преобразования потоковой передачи артефактов)
    • Не предоставляет разрешения для управления, просмотра и перечисления артефактов в карантине
    • Не предоставит разрешения на управление, просмотр и перечисление временно удаленных артефактов
  • Поддержка ABAC: поддержка необязательных условий Microsoft Entra ABAC для определения назначений ролей в конкретных репозиториях.

Список каталогов репозитория контейнеров

• Вариант использования: Назначение идентификаторов или служб, которые должны перечислять список всех репозиториев в реестре, например, конвейеры CI/CD, разработчики, сканеры уязвимостей или средства мониторинга и аудита реестра.
• Разрешения. Предоставляет доступ к плоскости данных для перечисления всех репозиториев в реестре. Не включает разрешения контрольной плоскости или разрешения для загрузки и выгрузки изображений.
  • Разрешения плоскости управления:
    • Отсутствует
  • Разрешения плоскости данных:
    • Перечисление всех репозиториев (имен образов) в реестре
    • Предоставляет разрешения на вызов {loginServerURL}/acr/v1/_catalog{loginServerURL}/v2/_catalog конечных точек API реестра для перечисления всех репозиториев в реестре.
    • Не предоставляет разрешения на просмотр или перечисление изображений, артефактов, тегов или ссылок OCI в репозиториях в реестре
  • Поддержка ABAC: данная роль не поддерживает условия Entra ABAC. Таким образом, это назначение роли предоставит разрешения на перечисление всех репозиториев в реестре.

AcrQuarantineWriter

• Вариант использования: назначение автоматизированным процессам или службам, которые управляют карантинными образами, такими как конвейеры CI/CD и сканеры уязвимостей.
• Разрешения: Управление образами в карантине в реестре.
  • Разрешения плоскости управления:
    • Отсутствует
  • Разрешения плоскости данных:
    • Управление артефактами в карантине (список и чтение артефактов в карантине , изменение состояния карантина артефактов)
  • Поддержка ABAC: не поддерживает условия Microsoft Entra ABAC.

AcrQuarantineReader

• Вариант использования: Присвоить автоматизированным процессам или службам, которые перечисляют, считывают и извлекают карантинные образы, такие как конвейеры CI/CD и сканеры уязвимостей.
• Разрешения: вывод списка, чтения и извлечения образов в карантине в реестре.
  • Разрешения плоскости управления:
    • Отсутствует
  • Разрешения плоскости данных:
    • Просмотр и перечисление артефактов в карантине (но не управление)
  • Поддержка ABAC: не поддерживает условия Microsoft Entra ABAC.

АкрПул

• Вариант использования: назначение узлам хоста контейнера, оркестраторам, сканерам уязвимостей или разработчикам, которым необходимо извлекать образы и читать метаданные репозитория, без разрешений на загрузку или изменение содержимого.
• Разрешения. Предоставляет доступ только для чтения плоскости данных для извлечения изображений и артефактов, тегов просмотра, репозиториев, ссылок OCI и конфигураций потоковой передачи артефактов. Не включает ни одного уровня управления или разрешений на запись.
  • Разрешения плоскости управления:
    • Отсутствует
  • Разрешения плоскости данных:
    • Извлечение изображений и артефактов в репозиториях в реестре
    • Просмотр и перечисление ассоциированных артефактов OCI в репозиториях реестра
    • Просмотр и перечисление изображений и метаданных артефактов, таких как теги (перечисление и чтение тегов) в репозиториях в реестре
    • Просмотр и перечисление всех репозиториев (имен образов) в реестре
    • Не предоставляет разрешения на управление политиками для репозиториев и изображений (включая репозиторий, образ, дайджест и блокировку тегов)
    • Просмотр конфигурации потоковой передачи артефактов для конкретного образа
    • Не предоставляет разрешения на управление или просмотр конфигурации потоковой передачи артефактов для репозиториев (например, настройка или просмотр политик репозитория для автоматического преобразования потоковой передачи артефактов)
    • Не предоставляет разрешения для управления, просмотра и перечисления артефактов в карантине
    • Не предоставляет разрешения для управления, просмотра и перечисления временно удаленных артефактов

AcrPush

• Область применения: Назначайте для конвейеров CI/CD, средств автоматизации или разработчиков, которым необходимо отправлять и извлекать образы контейнеров, управлять тегами и работать с артефактами, не нуждаясь в контроле над конфигурацией реестра или параметрами.
• Разрешения: предоставляет плоскости данных доступ к отправке и извлечению изображений и артефактов, управлению тегами, работе с ссылщиками OCI и настройке потоковой передачи артефактов для репозиториев и изображений. Не включает разрешения уровня управления.
  • Разрешения плоскости управления:
    • Отсутствует
  • Разрешения плоскости данных:
    • Отправка и извлечение изображений и артефактов в репозиториях в реестре
    • Создание, просмотр, перечисление и удаление артефактов-ссылок OCI в репозиториях в реестре
    • Управление метаданными изображений и артефактов, такими как теги (создание, чтение, перечисление, повторная простановка и удаление тегов) в репозиториях реестра
    • Просмотр и перечисление всех репозиториев (имен образов) в реестре
    • Не предоставляет разрешения на управление политиками для репозиториев и изображений (включая репозиторий, образ, дайджест и блокировку тегов)
    • Включите (но не отключайте) потоковую передачу артефактов для определенного образа
    • Не предоставляет разрешения на управление или просмотр конфигурации потоковой передачи артефактов для репозиториев (например, настройка или просмотр политик репозитория для автоматического преобразования потоковой передачи артефактов)
    • Не предоставляет разрешения для управления, просмотра и перечисления артефактов в карантине
    • Не предоставляет разрешений для управления, просмотра и составления списка обратимо удаленных артефактов

АкрУдалить

• Вариант использования: Назначить учетным записям или службам, ответственным за управление жизненным циклом и очистку образов.
• Разрешения: удаление артефактов и тегов в реестре.
  • Разрешения плоскости управления:
    • Отсутствует
  • Разрешения плоскости данных:
    • Удаление изображений, артефактов, дайджестов и тегов в репозиториях в реестре
    • Отключение поддержки потоковой передачи артефактов для определенного изображения путем удаления артефакта OCI для потоковой передачи изображения

AcrImageSigner

• Вариант использования: назначение автоматизированным процессам или сервисам, которые подписывают образы в рамках доверенной цепочки поставок, например, конвейеров CI/CD.
• Разрешения: Подписывание образов в реестре с помощью Docker Content Trust (DCT). Обратите внимание, что доверие содержимого Docker находится в процессе устаревания.
  • Разрешения плоскости управления:
    • Отсутствует
  • Разрешения плоскости данных:
    • Подпишите образы контейнеров с помощью Docker Content Trust (DCT)

AcrQuarantineWriter

• Вариант использования: назначение автоматизированным процессам или службам, которые управляют карантинными образами, такими как конвейеры CI/CD и сканеры уязвимостей.
• Разрешения: Управление образами в карантине в реестре.
  • Разрешения плоскости управления:
    • Отсутствует
  • Разрешения плоскости данных:
    • Управление артефактами в карантине (список и чтение артефактов в карантине , изменение состояния карантина артефактов)

AcrQuarantineReader

• Вариант использования: Присвоить автоматизированным процессам или службам, которые перечисляют, считывают и извлекают карантинные образы, такие как конвейеры CI/CD и сканеры уязвимостей.
• Разрешения: вывод списка, чтения и извлечения образов в карантине в реестре.
  • Разрешения плоскости управления:
    • Отсутствует
  • Разрешения плоскости данных:
    • Просмотр и перечисление артефактов в карантине (но не управление)

Владелец

• Вариант использования: Назначение администраторам, которым требуется полный контроль над реестром, включая возможность назначать роли другим идентификаторам и выполнять назначения ролей для реестра.
• Разрешения: полный доступ ко всем операциям уровня управления реестра, включая разрешения на назначение ролей и управление разрешениями репозитория на основе Microsoft Entra.
  • Разрешения плоскости управления:
    • Создание, обновление, просмотр, список и удаление реестров (включая номера SKU реестра и зоны доступности и избыточность зоны)
    • Управление назначениями ролей для реестров
    • Управление георепликациями
    • Управление подключенными реестрами
    • Управляйте задачами ACR, выполнением задач, пулами агентов задач, быстрыми задачами с az acr build (быстрые сборки и az acr run с ), журналами задач и идентификацией задач.
      • Предоставляет разрешения на настройку системы управляемой идентичности, назначенной задачей ACR. Примечание: для управления управляемой роли, назначенной пользователем для задачи ACR, требуется отдельная Managed Identity Operator роль.
      • Предоставляет разрешения для управления автоматической очисткой задач ACR
      • Для реестров с поддержкой ABAC задачи ACR, быстрые сборки и быстрые запуски не имеют разрешений уровня данных по умолчанию для отправки, извлечения или удаления изображений и тегов в репозиториях. См. воздействие включения ABAC на задачи ACR, быстрые задачи, быстрые сборки и быстрые запуски.
        • Для выполнения операций на плоскости данных задачи ACR, принадлежащие реестрам с поддержкой ABAC, должны иметь роли Container Registry Repository Reader/Writer/Contributor и Container Registry Repository Catalog Lister, назначенные идентификатору задачи.
        • Для выполнения операций на уровне данных удостоверение (вызывающий объект), инициирующее быструю задачу, должно иметь назначенные роли Container Registry Repository Reader/Writer/Contributor и Container Registry Repository Catalog Lister.
    • Настройка правил кэша артефактов и наборов учетных данных
    • Запуск импорта изображений ACR с помощью az acr import
    • Управление конвейерами передачи ACR для передачи артефактов между реестрами с помощью промежуточных учетных записей хранения через сеть, клиент или границы воздушного промежутка (импорт конвейеров, экспорт конвейеров и запуск конвейеров для импорта и экспорта)
    • Обновление конфигурации реестра
      • Настройте управляемое удостоверение, назначаемое системой реестра. Примечание: для управления управляемым удостоверением, назначенным пользователем, требуется отдельная роль Managed Identity Operator.
      • Настройка параметров сетевого доступа (доступ к общедоступной сети, обход доверенных служб, правила брандмауэра сети, выделенные конечные точки данных и конечные точки службы виртуальной сети)
      • Настройка параметров частной конечной точки (настройка, утверждение, отклонение и перечисление подключений к частной конечной точке и ресурсов приватного канала)
      • Настройка параметров доступа к проверке подлинности (учетные данные для входа администратора, анонимные запросы, разрешения репозитория на основе токенов, отличные от Microsoft Entra, и аудитория маркеров Microsoft Entra как arm)
      • Настройка политик реестра (настройка политики хранения, включение режима карантина, включение функции мягкого удаления и политики экспорта данных при утечке)
      • Примечание. Эта роль не предоставляет разрешения для управления, просмотра и перечисления артефактов в карантине или обратимо удаленных артефактов, предоставляя разрешения только на настройку параметров карантина и обратимого удаления для реестра.
    • Настройка параметров диагностики реестра и мониторинга (параметры диагностики , журналы, метрики, веб-перехватчики для реестров и георепликации и сетка событий)
    • Просмотр использования реестра (использование хранилища)
  • Разрешения плоскости данных:
    • Нет — реестры с поддержкой ABAC не имеют разрешений уровня данных для встроенной роли владельца.

Вкладчик

• Вариант использования: Назначение идентификаций, которым требуется управлять реестрами, но не требуют полномочий на назначение ролей.
• Разрешения: полный доступ ко всем операциям уровня управления реестра, за исключением разрешений на назначение ролей.
  • Разрешения плоскости управления:
    • То же, что и владелец, за исключением управления или выполнения назначений ролей для реестров. Предоставляются только разрешения для просмотра и перечисления назначений ролей для реестра.
    • Примечание: для выполнения назначений ролей или управления реестрами требуется роль Role Based Access Control Administrator. Эта менее привилегированная роль рекомендуется вместо роли Owner для управления назначениями ролей.
  • Разрешения плоскости данных:
    • Нет. Реестры с поддержкой ABAC не имеют прав доступа к плоскости данных для встроенной роли "Участник".

Читатель

• Вариант использования: Назначить удостоверения только тем, кто нуждается в просмотре и перечислении реестров и конфигурации реестра.
• Разрешения: Предоставляет ту же видимость, что и владелец и участник, но ограничено операциями только для чтения. Не разрешает создавать, обновлять или удалять действия в реестрах.
  • Разрешения плоскости управления:
    • Просмотр и перечисление реестров (включая номера SKU реестра и зоны доступности и избыточность зоны)
    • Просмотр и перечисление (но не управление) назначений ролей для реестров
    • Просмотр и список георепликаций
    • Просмотр и перечисление подключенных реестров
    • Просмотр и перечисление задач ACR, запусков задач, пулов агентов задач, журналов задач и идентификаторов задач
    • Просмотр и составление списка правил кэша артефактов и наборов учетных данных
    • Просмотр и перечисление каналов передачи ACR для перемещения артефактов между реестрами с использованием промежуточных учетных записей хранения через сеть, арендатора или границы изолированных сетей (импортные каналы, экспортные каналы и запуски каналов импорта/экспорта)
    • Просмотр конфигурации реестра
      • Просмотр и перечисление как управляемого удостоверения, назначаемого системой реестра, так и управляемого удостоверения, назначаемого пользователем
      • Просмотр и перечисление параметров сетевого доступа (доступ к общедоступной сети, обход доверенных служб, правила брандмауэра сети, выделенные конечные точки данных и конечные точки службы виртуальной сети)
      • Просмотр и перечисление параметров частной конечной точки (настройка, утверждение, отклонение и перечисление подключений к частной конечной точке и ресурсов приватного канала)
      • Просмотр и перечисление настроек доступа аутентификации (учетные данные для входа администратора, анонимный запрос, разрешения репозитория на основе токенов, отличные от Microsoft Entra, и аудитория токенов аутентификации Microsoft Entra как arm)
      • Просмотр и перечисление политик реестра (настройка политики хранения, включение карантина, включение функции мягкого удаления и политики экспорта для извлечения данных)
      • Примечание. Эта роль не предоставляет разрешения для управления, просмотра и перечисления артефактов, находящихся в карантине или удаленных с возможностью восстановления, предоставляя разрешения только для просмотра параметров карантина и параметров мягкого удаления для реестра.
    • Просмотр и перечисление параметров диагностики и мониторинга реестра (параметры диагностики, журналы, метрики, вебхуки для реестров и георепликации, а также Event Grid)
    • Просмотр использования реестра (использование хранилища)
  • Разрешения плоскости данных:
    • Нет . Реестры с поддержкой ABAC не имеют разрешений плоскости данных для встроенной роли читателя.

Владелец

• Вариант использования: Назначение администраторам, которым требуется полный контроль над реестром, включая возможность назначать роли другим идентификаторам и выполнять назначения ролей для реестра.
• Разрешения: полный доступ ко всем операциям уровня управления реестра и операциям плоскости данных, включая разрешения на назначение ролей и управление разрешениями репозитория на основе Microsoft Entra.
  • Разрешения плоскости управления:
    • Создание, обновление, просмотр, список и удаление реестров (включая номера SKU реестра и зоны доступности и избыточность зоны)
    • Управление назначениями ролей для реестров
    • Управление георепликациями
    • Управление подключенными реестрами
    • Управляйте задачами ACR, выполнением задач, пулами агентов задач, быстрыми задачами с az acr build (быстрые сборки и az acr run с ), журналами задач и идентификацией задач.
      • Предоставляет разрешения на настройку системы управляемой идентичности, назначенной задачей ACR. Примечание: для управления управляемой роли, назначенной пользователем для задачи ACR, требуется отдельная Managed Identity Operator роль.
      • Предоставляет разрешения для управления автоматической очисткой задач ACR
    • Настройка правил кэша артефактов и наборов учетных данных
    • Запуск импорта изображений ACR с помощью az acr import
    • Управление конвейерами передачи ACR для передачи артефактов между реестрами с помощью промежуточных учетных записей хранения через сеть, клиент или границы воздушного промежутка (импорт конвейеров, экспорт конвейеров и запуск конвейеров для импорта и экспорта)
    • Обновление конфигурации реестра
      • Настройте управляемое удостоверение, назначаемое системой реестра. Примечание: для управления управляемым удостоверением, назначенным пользователем, требуется отдельная роль Managed Identity Operator.
      • Настройка параметров сетевого доступа (доступ к общедоступной сети, обход доверенных служб, правила брандмауэра сети, выделенные конечные точки данных и конечные точки службы виртуальной сети)
      • Настройка параметров частной конечной точки (настройка, утверждение, отклонение и перечисление подключений к частной конечной точке и ресурсов приватного канала)
      • Настройка параметров доступа к проверке подлинности (учетные данные для входа администратора, анонимные запросы, разрешения репозитория на основе токенов, отличные от Microsoft Entra, и аудитория маркеров Microsoft Entra как arm)
      • Настройка политик реестра (настройка политики хранения, включение режима карантина, включение функции мягкого удаления и политики экспорта данных при утечке)
    • Настройка параметров диагностики реестра и мониторинга (параметры диагностики , журналы, метрики, веб-перехватчики для реестров и георепликации и сетка событий)
    • Просмотр использования реестра (использование хранилища)
  • Разрешения плоскости данных:
    • Отправка и извлечение изображений и артефактов в репозиториях в реестре
    • Создавайте, просматривайте, перечисляйте и удаляйте релевантные артефакты OCI в репозиториях реестра
    • Управление метаданными изображений и артефактов, такими как теги (создание, чтение, перечисление, повторная разметка и удаление тегов) в реестре репозиториев.
    • Просмотр и перечисление всех репозиториев (имен образов) в реестре
    • Управление политиками для репозиториев и образов (включая репозиторий, образ, дайджест и блокировку тегов)
    • Настройка конфигурации потоковой передачи артефактов для конкретного образа
    • Управление конфигурацией потоковой передачи артефактов для репозиториев (например, настройка или просмотр политик репозитория для автоматического преобразования потоковой передачи артефактов)
    • Управление артефактами в карантине (список и чтение артефактов в карантине , изменение состояния карантина артефактов)
    • Управление мягко удаленными артефактами (список и восстановление мягко удаленных артефактов)
    • Подпишите образы контейнеров с помощью Docker Content Trust (DCT)

Вкладчик

• Вариант использования: Назначение идентификаций, которым требуется управлять реестрами, но не требуют полномочий на назначение ролей.
• Разрешения: полный доступ ко всем операциям уровня управления реестра и всем операциям плоскости данных, кроме разрешений назначения ролей.
  • Разрешения плоскости управления:
    • То же, что и владелец, за исключением управления или выполнения назначений ролей для реестров. Предоставляются только разрешения для просмотра и перечисления назначений ролей для реестра.
    • Примечание: для выполнения назначений ролей или управления реестрами требуется роль Role Based Access Control Administrator. Эта менее привилегированная роль рекомендуется вместо роли Owner для управления назначениями ролей.
  • Разрешения плоскости данных:
    • То же самое, что владелец — полный доступ к плоскости данных.

Читатель

• Вариант использования: Назначить удостоверения только тем, кто нуждается в просмотре и перечислении реестров и конфигурации реестра.
• Разрешения: Предоставляет ту же видимость, что и владелец и участник, но ограничено операциями только для чтения. Не разрешает создавать, обновлять или удалять действия в реестрах.
  • Разрешения плоскости управления:
    • Просмотр и перечисление реестров (включая номера SKU реестра и зоны доступности и избыточность зоны)
    • Просмотр и перечисление (но не управление) назначений ролей для реестров
    • Просмотр и список георепликаций
    • Просмотр и перечисление подключенных реестров
    • Просмотр и перечисление задач ACR, запусков задач, пулов агентов задач, журналов задач и идентификаторов задач
    • Просмотр и составление списка правил кэша артефактов и наборов учетных данных
    • Просмотр и перечисление каналов передачи ACR для перемещения артефактов между реестрами с использованием промежуточных учетных записей хранения через сеть, арендатора или границы изолированных сетей (импортные каналы, экспортные каналы и запуски каналов импорта/экспорта)
    • Просмотр конфигурации реестра
      • Просмотр и перечисление как управляемого удостоверения, назначаемого системой реестра, так и управляемого удостоверения, назначаемого пользователем
      • Просмотр и перечисление параметров сетевого доступа (доступ к общедоступной сети, обход доверенных служб, правила брандмауэра сети, выделенные конечные точки данных и конечные точки службы виртуальной сети)
      • Просмотр и перечисление параметров частной конечной точки (настройка, утверждение, отклонение и перечисление подключений к частной конечной точке и ресурсов приватного канала)
      • Просмотр и перечисление настроек доступа аутентификации (учетные данные для входа администратора, анонимный запрос, разрешения репозитория на основе токенов, отличные от Microsoft Entra, и аудитория токенов аутентификации Microsoft Entra как arm)
      • Просмотр и перечисление политик реестра (настройка политики хранения, включение карантина, включение функции мягкого удаления и политики экспорта для извлечения данных)
    • Просмотр и перечисление параметров диагностики и мониторинга реестра (параметры диагностики, журналы, метрики, вебхуки для реестров и георепликации, а также Event Grid)
    • Просмотр использования реестра (использование хранилища)
  • Разрешения плоскости данных:
    • Извлечение изображений и артефактов в репозиториях в реестре
    • Просмотр и перечисление артефактов-рефереров OCI в реестре репозиториев
    • Просмотр и перечисление изображений и метаданных артефактов, таких как теги (чтение и перечисление тегов) в репозиториях в реестре
    • Просматривать и перечислять все репозитории (имена образов) в регистре
    • Просмотр политик для репозиториев и изображений (включая репозиторий, образ, дайджест и блокировку тегов)
    • Просмотреть конфигурацию потоковой передачи артефактов для конкретного образа
    • Просмотр конфигурации потоковой передачи артефактов для репозиториев (например, просмотр политик репозитория для автоматического преобразования потоковой передачи артефактов)
    • Просмотр и перечисление артефактов в карантине (но не управление)
    • Просмотр и перечисление (но не управление) мягко удаленных артефактов