Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit azure Container Registry können Sie zulassen, dass vertrauenswürdige Azure-Dienste auf eine Registrierung zugreifen können, die mit Netzwerkzugriffsregeln konfiguriert ist. Wenn Sie vertrauenswürdige Dienste zulassen, kann eine vertrauenswürdige Dienstinstanz die Netzwerkregeln der Registrierung sicher umgehen und Vorgänge wie das Abrufen oder Hochladen von Images ausführen. In diesem Artikel wird erklärt, wie Sie vertrauenswürdige Dienste mit einer Azure Containerregistrierung mit einer Netzwerkeinschränkung aktivieren und verwenden.
Verwenden Sie Azure Cloud Shell oder eine lokale Installation der Azure CLI, um die Beispielbefehle in diesem Artikel auszuführen. Verwenden Sie Version 2.18 oder höher, um sie lokal auszuführen. Führen Sie az --version aus, um die Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.
Einschränkungen
- Bestimmte Registrierungszugriffsszenarien mit vertrauenswürdigen Diensten erfordern eine verwaltete Identität für Azure-Ressourcen. Sofern nicht angegeben, dass eine vom Benutzer zugewiesene verwaltete Identität unterstützt wird, kann nur eine vom System zugewiesene Identität verwendet werden.
- Das Zulassen von vertrauenswürdigen Diensten gilt nicht für eine Containerregistrierung, die mit einem Dienstendpunkt konfiguriert ist. Die Funktion wirkt sich nur auf Registrierungen aus, die durch einen privaten Endpunkt eingeschränkt sind, oder auf die Zugriffsregeln für öffentliche IP-Adressen angewendet sind.
Informationen zu vertrauenswürdigen Diensten
Azure Container Registry verfügt über ein mehrschichtiges Sicherheitsmodell, das mehrere Netzwerkkonfigurationen unterstützt, um den Zugriff auf eine Registrierung einzuschränken. Zu diesen Konfigurationen gehören:
- Privater Endpunkt mit Azure Private Link. Wenn ein privater Endpunkt einer Registrierung konfiguriert ist, können nur Ressourcen innerhalb des virtuellen Netzwerks unter Verwendung privater IP-Adressen darauf zugreifen.
- Firewallregeln für die Registrierung, die den Zugriff auf den öffentlichen Endpunkt der Registrierung nur über bestimmte öffentliche IP-Adressen oder -Adressbereiche zulassen. Sie können die Firewall auch zum Blockieren des gesamten Zugriffs auf den öffentlichen Endpunkt konfigurieren, wenn private Endpunkte verwendet werden.
Wenn Sie eine Registrierung in einem virtuellen Netzwerk bereitstellen oder mit Firewallregeln konfigurieren, verweigert sie den Zugriff auf Benutzer oder Dienste von außerhalb dieser Quellen.
Mehrere mehrinstanzenfähige Azure-Dienste funktionieren aus Netzwerken, die Sie nicht in diese Registrierungsnetzwerkeinstellungen einbeziehen können. Daher können diese Dienste keine Vorgänge ausführen, z. B. Das Abrufen oder Übertragen von Bildern in die Registrierung. Wenn Sie bestimmte Dienstinstanzen als „vertrauenswürdig“ festlegen, kann ein Registrierungsbesitzer ausgewählten Azure-Ressourcen gestatten, die Netzwerkeinstellungen der Registrierung für die Durchführung von Vorgängen in der Registrierung sicher zu umgehen.
Vertrauenswürdige Dienste
Instanzen der folgenden Dienste können auf eine Containerregistrierung mit Netzwerkeinschränkungen zugreifen, wenn die Einstellung Vertrauenswürdige Dienste zulassen der Registrierung aktiviert ist (Standardeinstellung). Im Laufe der Zeit werden weitere Dienste hinzugefügt.
Wo dies angegeben ist, erfordert der Zugang für den vertrauenswürdigen Dienst die zusätzliche Konfiguration einer verwalteten Identität in einer Dienstinstanz, die Zuweisung einer RBAC-Rolle und die Authentifizierung bei der Registrierung. Beispielschritte finden Sie weiter unten in diesem Artikel unter Workflow für vertrauenswürdige Dienste.
| Vertrauenswürdiger Dienst | Unterstützte Verwendungsszenarien | Konfigurieren einer verwalteten Identität mit einer RBAC-Rolle |
|---|---|---|
| Azure-Containerinstanzen | Bereitstellen in Azure Container Instances aus Azure Container Registry mit einer verwalteten Identität | Ja, entweder systemseitig oder benutzerseitig zugewiesene Identität |
| Microsoft Defender für Cloud | Überprüfung auf Sicherheitsrisiken mit Microsoft Defender für Containerregistrierungen. | Nein |
| Maschinelles Lernen | Bereitstellen oder Trainieren eines Modells in einem Machine Learning-Arbeitsbereich mithilfe eines benutzerdefinierten Docker-Containers | Ja |
| Azure Container Registry (Registrierungsdienst für Container von Azure) | Importieren von Images aus oder in eine netzwerkseitig eingeschränkte Azure-Containerregistrierung | Nein |
Hinweis
Derzeit gilt das Aktivieren der allow trusted services Einstellung nicht für App Service.
Vertrauenswürdige Dienste zulassen: CLI
Standardmäßig ist die Einstellung „Vertrauenswürdige Dienste zulassen“ in einer neuen Azure Container Registry-Instanz aktiviert. Deaktivieren oder aktivieren Sie die Einstellung, indem Sie den Befehl az acr update ausführen.
So deaktivieren Sie
az acr update --name myregistry --allow-trusted-services false
So aktivieren Sie die Einstellung in einer vorhandenen Registrierung oder in einer Registrierung, in der sie bereits deaktiviert ist
az acr update --name myregistry --allow-trusted-services true
Vertrauenswürdige Dienste zulassen: Portal
Standardmäßig ist die Einstellung „Vertrauenswürdige Dienste zulassen“ in einer neuen Azure Container Registry-Instanz aktiviert.
So deaktivieren oder aktivieren Sie die Einstellung im Portal erneut
- Navigieren Sie im Azure-Portal zu Ihrer Containerregistrierung.
- Wählen Sie unter Einstellungen die Option Netzwerk aus.
- Wählen Sie unter Öffentlichen Netzwerkzugriff zulassen die Option Ausgewählte Netzwerke oder Deaktiviert aus.
- Führen Sie einen der folgenden Schritte aus:
- Um den Zugriff von vertrauenswürdigen Diensten zu deaktivieren, deaktivieren Sie unter Firewallausnahme die Option Vertrauenswürdigen Microsoft-Diensten den Zugriff auf diese Containerregistrierung gestatten.
- Um vertrauenswürdige Dienste zuzulassen, aktivieren Sie unter Firewallausnahme die Option Vertrauenswürdigen Microsoft-Diensten den Zugriff auf diese Containerregistrierung gestatten.
- Wählen Sie Speichern aus.
Workflow für vertrauenswürdige Dienste
Im Folgenden finden Sie einen typischen Workflow zum Aktivieren einer Instanz eines vertrauenswürdigen Diensts für den Zugriff auf eine Containerregistrierung mit Netzwerkeinschränkungen. Dieser Workflow ist erforderlich, wenn Sie die verwaltete Identität einer Dienstinstanz verwenden, um die Netzwerkregeln der Registrierung zu umgehen.
- Aktivieren Sie eine verwaltete Identität in einer Instanz eines der vertrauenswürdigen Dienste für Azure Container Registry.
- Weisen Sie der Identität eine Azure-Rolle für Ihre Registrierung zu. Weisen Sie z. B. entweder
Container Registry Repository Reader(für ABAC-fähige Registrierungen) oderAcrPull(für Nicht-ABAC-Registrierungen) zu. - Konfigurieren Sie die Einstellung in der netzwerkbeschränkten Registrierung, um den Zugriff durch vertrauenswürdige Dienste zu ermöglichen.
- Verwenden Sie die Anmeldeinformationen der Identität für die Authentifizierung bei der Registrierung mit Netzwerkeinschränkungen.
- Pullen Sie Images aus der Registrierung, oder führen Sie andere für die Rolle zulässige Vorgänge aus.
Nächste Schritte
- Informationen zum Einschränken des Zugriffs auf eine Registrierung mithilfe eines privaten Endpunkts in einem virtuellen Netzwerk finden Sie unter Konfigurieren von Azure Private Link für eine Azure-Container Containerregistrierung.
- Informationen zum Einrichten von Firewallregeln für die Registrierung finden Sie unter Konfigurieren von Netzwerkregeln für öffentliche IP-Adressen.