Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Реестр контейнеров Azure (ACR) предлагает набор встроенных ролей , которые обеспечивают управление разрешениями на основе Microsoft Entra в реестрe ACR.
С помощью управления доступом на основе ролей Azure (RBAC) можно назначить встроенную роль пользователям, управляемым удостоверениям или субъектам-службам, чтобы предоставить разрешения на основе Microsoft Entra, определенные в роли.
Вы также можете определить и назначить пользовательские роли с точными разрешениями, адаптированными к вашим потребностям, если встроенные роли не соответствуют вашим требованиям.
Поддерживаемые типы идентичностей назначения ролей
Роли ACR можно назначить следующим типам удостоверений, чтобы предоставить разрешения реестру:
- Удостоверение отдельного пользователя
-
Управляемый идентификатор для ресурсов Azure
- Azure DevOps — идентификация Azure Pipelines
- Идентификатор kubelet узла службы Azure Kubernetes (AKS), чтобы разрешить узлу AKS загружать образы из ACR. ACR поддерживает назначение ролей как для удостоверений kubelet, управляемых AKS, так и для заранее созданных удостоверений kubelet на узлах AKS для загрузки образов из ACR.
- Идентификация приложений контейнеров Azure
- Идентификация экземпляров контейнеров Azure
- Идентификатор рабочей области Машинного обучения Azure
- Идентификация kubelet для узлов прикрепленного к Машинному обучению Azure кластера Kubernetes позволяет узлам кластера Kubernetes извлекать образы из ACR.
- Идентификация онлайн конечной точки Machine Learning Azure
- Удостоверение службы приложений Azure
- Идентичность веб-приложений Azure
- Идентификация пакетная служба Azure
- Идентификация Функций Azure
-
Управляющий службой
- Служебный принципал кластера AKS позволяет узлам AKS загружать образы из ACR. ACR также поддерживает межтенантный узел AKS для аутентификации ACR через назначения ролей служебного принципала между клиентами и аутентификацию.
- Субъект-служба экземпляра контейнеров Azure
- Гибридные или локальные кластеры AKS в Azure Stack Hub с помощью субъекта-службы
Замечание
Подключенные реестры не поддерживают назначения ролей Azure или управление разрешениями на основе Microsoft Entra.
Выполнение назначений ролей для предоставления разрешений
Для выполнения назначений ролей необходимо иметь роль Owner или роль Role Based контроль доступа Administrator в реестре.
Вы можете назначать роли с помощью портала Azure, Azure CLI или Azure PowerShell.
Сведения о том, как назначить роль удостоверению, см. в разделе "Действия по добавлению назначения ролей".
Назначение ролей области определенным репозиториям
Используйте управление доступом на основе атрибутов Microsoft Entra (ABAC) для управления разрешениями репозитория, основанного на Microsoft Entra. Эта функция позволяет назначать роли определенным репозиториям в реестре.
Общие сведения о разрешениях репозитория Microsoft Entra ABAC, включая встроенные роли ACR, поддерживающие условия Microsoft Entra ABAC, см. в разделе разрешения репозитория на основе Microsoft Entra.
Кроме того, ознакомьтесь со справочником по каталогу ролей реестра контейнеров Azure для списка встроенных ролей, поддерживающих условия Microsoft Entra ABAC.
Рекомендуемые встроенные роли по сценариям
Примените принцип наименьшей привилегии, назначив только разрешения, необходимые для идентификатора для выполнения его предполагаемой функции.
Применимые встроенные роли и поведение ролей зависят от режима разрешений назначения ролей реестра:
- RBAC Registry + ABAC Repository Permissions: поддерживает стандартные назначения ролей RBAC с необязательными условиями Microsoft Entra ABAC. определение границ для определенных репозиториев.
- Разрешения реестра RBAC: поддерживает только стандартные назначения RBAC без условий ABAC.
Чтобы просмотреть этот параметр на портале Azure, перейдите в реестр и выберите "Свойства " в разделе "Параметры " в меню службы.
В следующем списке описаны распространенные сценарии реестра контейнеров и их рекомендуемые роли в зависимости от режима разрешений назначения ролей реестра.
- Реестры, настроенные с разрешениями RBAC Registry + ABAC Repository
- Реестры, настроенные с разрешениями реестра RBAC.
Сценарий: субъекты удостоверения, которым необходимо получать образы и проверять артефакты цепочки поставок, например разработчики, конвейеры и оркестраторы развертывания контейнеров (Служба Azure Kubernetes, Контейнеры приложений Azure, Экземпляры контейнеров Azure, рабочие области Машинное обучение Azure)
- Роль:
Container Registry Repository Reader - Назначение. Предоставляет доступ только для чтения плоскости данных к извлекаемым изображениям и артефактам, тегам просмотра, репозиториям, ссылкам Open Container Initiative (OCI) и конфигурациям потоковой передачи артефактов. Не включает ни одного уровня управления или разрешений на запись. Не предоставляет разрешения на доступ к списку каталогов репозиториев для перечисления любых репозиториев в реестре.
- Поддержка ABAC: Эта роль позволяет использовать необязательные условия Microsoft Entra ABAC для ограничения назначения ролей на конкретные репозитории в реестре.
- Роль:
Сценарий: идентичности, такие как конвейеры сборки CI/CD и разработчики, которые создают и отправляют образы, а также управляют метками изображений
- Роль:
Container Registry Repository Writer - Разрешения. Предоставляет доступ к плоскости данных для отправки, извлечения и обновления (но не удаления) изображений и артефактов, чтения и управления тегами, чтения и управления ссылками OCI и включения (но не отключения) потоковой передачи артефактов для репозиториев и изображений. Не включает разрешения уровня управления. Не предоставляет разрешения на доступ к списку каталогов репозиториев для перечисления любых репозиториев в реестре.
- Поддержка ABAC: Эта роль позволяет использовать необязательные условия Microsoft Entra ABAC для ограничения назначения ролей на конкретные репозитории в реестре.
- Роль:
Сценарий: идентификаторы, которым необходимо удалить изображения, артефакты, теги и ссылки OCI
- Роль:
Container Registry Repository Contributor - Разрешения: предоставляет разрешения на чтение, запись, обновление и удаление изображений и артефактов, чтение и управление и удаление тегов, чтение и управление и удаление ссылок OCI и включение и отключение потоковой передачи артефактов для репозиториев и изображений. Не включает разрешения уровня управления. Не предоставляет разрешения на доступ к списку каталогов репозиториев для перечисления любых репозиториев в реестре.
- Поддержка ABAC: Эта роль позволяет использовать необязательные условия Microsoft Entra ABAC для ограничения назначения ролей на конкретные репозитории в реестре.
- Роль:
Сценарий: идентификации, которые необходимы для перечисления всех репозиториев в реестре
- Роль:
Container Registry Repository Catalog Lister - Разрешения: предоставляет доступ уровня данных для перечисления всех репозиториев в реестре, включая конечные точки API
{loginServerURL}/acr/v1/_catalogили{loginServerURL}/v2/_catalogреестра. Не включает разрешения контрольной плоскости или разрешения для загрузки и выгрузки изображений. - Поддержка ABAC: эта роль не поддерживает условия Microsoft Entra ABAC. Таким образом, назначение роли предоставляет разрешения на перечисление всех репозиториев в реестре.
- Роль:
Сценарий: конвейеры, удостоверения и разработчики, которые подписывают изображения
- Для подписывания изображений с помощью OCI-рефереров, таких как Notary Project:
- Роль:
Container Registry Repository Writer - Разрешения: предоставляет доступ к платформе данных для добавления подписей в виде ссылок OCI, прикрепленных к изображениям и артефактам. Не включает разрешения уровня управления.
- Поддержка ABAC: Эта роль позволяет использовать необязательные условия Microsoft Entra ABAC для ограничения назначения ролей на конкретные репозитории в реестре.
- Роль:
- Для подписывания изображений с помощью Docker Content Trust (DCT):
- Поддержка подписывания образов с помощью DCT для реестров с включенной функцией ABAC отсутствует.
- Для подписывания изображений с помощью OCI-рефереров, таких как Notary Project:
Сценарий: разработчики и скрипты командной строки, использующие
azCLI для аутентификации и входа в реестр (с помощью командыaz acr login), а также для выполнения других команд плоскости управленияazCLI для реестра. Обратите внимание, что удостоверения, которые нуждаются только в извлечении изображения, отправке или удалении разрешений, не требуют следующей роли. Этот сценарий касается исключительно уточнения роли, которая предоставляет разрешения для выполнения командazCLI в реестре, включаяaz acr loginи другие командыazCLI для плоскости управления в реестре. Эта роль также предоставляет разрешения на создание, обновление или удаление реестров ACR, а также разрешения уровня управления для управления конфигурацией реестра. Эта роль не предоставляет разрешения плоскости данных для извлечения, отправки или удаления изображений; они предоставляются отдельными ролями плоскости данных.- Роль:
Container Registry Contributor and Data Access Configuration Administrator - Поддержка ABAC: эта роль не поддерживает условия ABAC Microsoft Entra, так как она ограничена уровнем реестра и предоставляет разрешения на аутентификацию в реестре с помощью
azCLI (через командуaz acr login), а также на управление параметрами и конфигурациями плоскости управления всего реестра.
- Роль:
Сценарий: каналы, удостоверения и разработчики, которым необходимо создавать, обновлять или удалять реестры ACR.
- Роль:
Container Registry Contributor and Data Access Configuration Administrator - Разрешения:
- Предоставляет уровень управления доступ к созданию, настройке, управлению и удалению реестров, включая:
- авторизуйтесь и войдите в реестр через CLI
azс помощью командыaz acr login. Обратите внимание, что в реестре с включённым ABAC операцияaz acr loginвыполняется успешно с этой ролью, но этому субъекту по-прежнему не предоставляются никакие операции плоскости данных (получение, отправка, удаление), если у него также нет роли плоскости данных, совместимой с ABAC. - выполните другие
azкоманды уровня управления CLI в реестре, который считывает, обновляет или удаляет конфигурацию уровня управления реестра (обратите внимание, что эта роль не предоставляет разрешения уровня данных, необходимые для выполнения определенныхazкоманд CLI). - настройка номеров SKU реестра
- параметры доступа при аутентификации (учетные данные для входа администратора, анонимное извлечение, разрешения репозитория на основе токенов, не относящихся к Microsoft Entra, и аудитория токенов Microsoft Entra Authentication-as-ARN);
- настроить (георепликации),
- локальные функции (подключенные реестры),
- конечные точки реестра (выделенные конечные точки данных)
- сетевой доступ (параметры приватной связи и частной конечной точки, доступ к общедоступной сети, обход доверенных служб, правила брандмауэра сети и конечные точки службы виртуальной сети)
- Политики реестра (политика хранения, включение режима карантина для всего реестра, включение мягкого удаления и политика экспорта извлечения данных)
- параметры диагностики и мониторинга (параметры диагностики, журналы, метрики, вебхуки для реестров и георепликации и Event Grid)
- управление управляемым удостоверением, назначаемого системой реестра
- авторизуйтесь и войдите в реестр через CLI
- Примечание. Эта роль предоставляет разрешения на удаление самого реестра.
- Примечание. Эта роль не включает операции плоскости данных (например, отправку и извлечение изображения), возможности назначения ролей или задачу ACR.
- Примечание: для управления управляемым пользователем удостоверением реестра назначенное лицо должно также иметь
Managed Identity Operatorроль.
- Предоставляет уровень управления доступ к созданию, настройке, управлению и удалению реестров, включая:
- Поддержка ABAC. Эта роль не поддерживает условия Microsoft Entra ABAC, так как роль распространяется на уровень реестра, предоставляя разрешения на управление параметрами и конфигурациями уровня управления для всего реестра.
- Роль:
Сценарий: конвейеры, инженеры инфраструктуры или инструменты наблюдения/мониторинга плоскости управления, необходимые для составления списков реестров и просмотра конфигурации реестров, но без доступа к изображениям реестра
- Роль:
Container Registry Configuration Reader and Data Access Configuration Reader - Разрешения: эквивалент
Container Registry Contributor and Data Access Configuration Administratorроли только для чтения. Предоставляет доступ к плоскости управления для просмотра и списка реестров и проверки конфигураций реестра, но не изменяет их. Не включает операции плоскости управления данными (например, загрузки и извлечения изображений) или возможности назначения ролей. - Поддержка ABAC: эта роль не поддерживает условия Microsoft Entra ABAC, так как роль распространяется на уровень реестра, предоставляя разрешения на чтение параметров и конфигураций уровня управления для всего реестра.
- Роль:
Сценарий. Сканеры уязвимостей и средства, которые должны выполнять аудит реестров и конфигураций реестра, а также доступ к образам реестра для проверки уязвимостей
- Роли:
Container Registry Repository Reader,Container Registry Repository Catalog ListerиContainer Registry Configuration Reader and Data Access Configuration Reader - Разрешения: предоставляет доступ к управляющей плоскости для просмотра и составления списка реестров ACR, а также для аудита конфигураций реестра с целью аудита и соблюдения нормативных требований. Кроме того, предоставляет разрешения на извлечение изображений, артефактов, просмотр тегов, а также на сканирование и анализ изображений на наличие уязвимостей.
- Поддержка ABAC: ACR рекомендует, чтобы сканеры уязвимостей и мониторы имели полный доступ к уровню данных всех репозиториев в реестре. Таким образом, назначайте эти роли без условий Microsoft Entra ABAC для предоставления разрешений на роли без их ограничения в конкретных репозиториях.
- Роли:
Сценарий: конвейеры и идентичности, которые оркестрируют ACR-задачи
- Роль:
Container Registry Tasks Contributor - Разрешения: управление задачами ACR, включая определения задач и запуски задач, пулы агентов задач, быстрые сборки с
az acr buildи быстрые запуски сaz acr run, а также журналы задач. Не включает разрешения уровня данных или более широкую конфигурацию реестра. - Примечание. Чтобы полностью контролировать идентификаторы задач, получатель должен иметь
Managed Identity Operatorроль. - Поддержка ABAC. Эта роль не поддерживает условия MICROSOFT Entra ABAC, так как роль распространяется на уровень реестра, предоставляя разрешения на управление всеми задачами ACR в реестре.
- Роль:
Сценарий: идентификации, такие как конвейеры и разработчики, импортирующие образы с помощью
az acr import- Роль:
Container Registry Data Importer and Data Reader - Разрешения: предоставляет доступ уровня управления для активации импорта изображений с помощью
az acr import, а также доступ к контрольной плоскости для проверки успешности импорта (загрузка импортированных изображений и артефактов, просмотр содержимого репозитория, список ссылок OCI и проверка импортированных тегов). Не допускает отправку или изменение содержимого в реестре. - Поддержка ABAC. Эта роль не поддерживает условия Microsoft Entra ABAC, так как роль распространяется на уровень реестра, предоставляя разрешения на импорт образов в любой репозиторий в реестре. Он также предоставляет разрешения на чтение изображений во всех репозиториях в реестре.
- Роль:
Сценарий: Идентификаторы, такие как каналы обработки данных и разработчики, которые управляют конвейерами передачи ACR для передачи артефактов между реестрами с использованием промежуточных учетных записей хранения через сеть, тенант или границы изолированных сред
- Роль:
Container Registry Transfer Pipeline Contributor - Разрешения. Предоставляет доступ к плоскости управления для управления конвейерами импорта/экспорта ACR и запусками конвейеров с использованием промежуточных учетных записей хранения. Не включает разрешения уровня данных, более широкий доступ к реестру или разрешения для управления другими типами ресурсов Azure, такими как учетные записи хранения или хранилища ключей.
- Поддержка ABAC. Эта роль не поддерживает условия Microsoft Entra ABAC, так как роль распространяется на уровень реестра, предоставляя разрешения на управление всеми ACR-передаточными конвейерами в реестре.
- Роль:
Сценарий: Управление карантинными образами
- Роли:
AcrQuarantineReaderиAcrQuarantineWriter - Разрешения: управление образами в карантине в реестре, включая перечисление и извлечение образов в карантине для дальнейшего проверки и изменение состояния карантина изображений. Изображения, помещенные в карантин, отправляются и не могут быть извлечены или использованы до тех пор, пока не будет снят карантин.
- Поддержка ABAC: эта роль не поддерживает условия Microsoft Entra ABAC, так как роль спрограмментировалась на уровне реестра, предоставляя разрешения на управление всеми заблокированными образами в реестре.
- Роли:
Сценарий: разработчики или процессы, которые настраивают автоматическую очистку реестра в задачах ACR
- Роль:
Container Registry Tasks Contributor - Разрешения: предоставляет разрешения уровня управления для управления автоматической очисткой, которая выполняется в задачах ACR.
- Поддержка ABAC. Эта роль не поддерживает условия MICROSOFT Entra ABAC, так как роль распространяется на уровень реестра, предоставляя разрешения на управление всеми задачами ACR в реестре.
- Роль:
Сценарий: пользователи расширения Docker для Visual Studio Code
- Роли:
Container Registry Repository Writer,Container Registry Tasks ContributorиContainer Registry Contributor and Data Access Configuration Administrator - Разрешения: предоставляет возможности для просмотра реестров, загрузки и публикации образов, а также создания образов с помощью
az acr build, поддерживая распространенные рабочие процессы разработчиков в Visual Studio Code. - Поддержка ABAC. ACR рекомендует пользователям Visual Studio Code иметь полный доступ к плоскости данных ко всем репозиториям в реестре. Таким образом, назначайте эти роли без условий Microsoft Entra ABAC для предоставления разрешений на роли без их ограничения в конкретных репозиториях.
- Роли:
Дальнейшие шаги
- Чтобы выполнить назначение ролей с необязательными условиями Microsoft Entra ABAC для ограничения назначений ролей на определенные репозитории, см. раздел разрешения репозитория на основе Microsoft Entra.
- Подробные сведения о каждой встроенной роли ACR, включая разрешения, предоставленные каждой ролью, см. в справочнике по каталогу ролей реестра контейнеров Azure.
- Дополнительные сведения о создании пользовательских ролей, отвечающих вашим потребностям и требованиям, см. в разделе "Настраиваемые роли реестра контейнеров Azure".