Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Con Azure Container Registry, puede permitir que los servicios de Azure de confianza tengan acceso a un registro configurado con reglas de acceso de red. Cuando se permiten servicios de confianza, una instancia de servicio de confianza puede omitir de forma segura las reglas de red del Registro y realizar operaciones como extraer o insertar imágenes. En este artículo se explica cómo habilitar y usar servicios de confianza con un registro de contenedor de Azure restringido por la red.
Use Azure Cloud Shell o una instalación local de la CLI de Azure para ejecutar los ejemplos de comando de este artículo. Use la versión 2.18 o posterior para ejecutarla localmente. Ejecute az --version para encontrar la versión. Si necesita instalarla o actualizarla, vea Instalación de la CLI de Azure.
Limitaciones
- Determinados escenarios de acceso al registro con servicios de confianza requieren una identidad administrada para los recursos de Azure. Excepto cuando se indique que se admite una identidad administrada asignada por el usuario, solo se puede usar una identidad asignada por el sistema.
- La habilitación de servicios de confianza no se aplica a un registro de contenedor configurado con un punto de conexión de servicio. La característica solo afecta a los registros que están restringidos con un punto de conexión privado o que tienen aplicadas reglas de acceso con direcciones IP públicas.
Acerca de los servicios de confianza
Azure Container Registry tiene un modelo de seguridad en capas que admite varias configuraciones de red para restringir el acceso a un registro. Estas configuraciones incluyen:
- Punto de conexión privado con Azure Private Link. Cuando se configura, a un punto de conexión privado del registro solo pueden acceder los recursos de la red virtual mediante direcciones IP privadas.
- Reglas de firewall de registro, que permiten acceder al punto de conexión público del registro solo desde intervalos de direcciones o direcciones IP públicas específicas. También puede usar el firewall para bloquear todo el acceso al punto de conexión público al usar puntos de conexión privados.
Al implementar un registro en una red virtual o configurarlo con reglas de firewall, deniega el acceso a los usuarios o servicios desde fuera de esos orígenes.
Varios servicios multiinquilino de Azure funcionan desde redes que no se pueden incluir en esta configuración de red del Registro. Como resultado, estos servicios no pueden realizar operaciones como extraer o insertar imágenes en el registro. Al designar determinadas instancias de servicio como "de confianza", un propietario del registro puede permitir seleccionar recursos de Azure para que ignoren de forma segura la configuración de red del registro para realizar operaciones en el registro.
Servicios de confianza
Las instancias de los siguientes servicios pueden acceder a un registro de contenedor con restricción de red si la opción allow trusted services (Permitir servicios de confianza) del registro está habilitada (opción predeterminada). Se agregarán más servicios con el tiempo.
Cuando se indica, el acceso por parte del servicio de confianza requiere una configuración adicional de una identidad administrada en una instancia de servicio, la asignación de un rol RBAC y la autenticación con el registro. Para ver pasos de ejemplo, consulte Flujo de trabajo de servicios de confianza en este mismo artículo.
| Servicio de confianza | Escenarios de uso admitidos | Configuración de la identidad administrada con el rol RBAC |
|---|---|---|
| Azure Container Instances (Instancias de Contenedores de Azure) | Implementación en Azure Container Instances desde Azure Container Registry mediante una identidad administrada | Sí, una identidad asignada por el sistema o el usuario |
| Microsoft Defender for Cloud | Examen de vulnerabilidades por parte de Microsoft Defender para registros de contenedor | No |
| Aprendizaje automático | Implementar o entrenar un modelo en un área de trabajo de Machine Learning mediante una imagen de contenedor personalizada de Docker | Sí |
| Azure Container Registry (Registro de Contenedores de Azure) | Importación de imágenes hacia o desde un registro de contenedor de Azure restringido por la red | No |
Nota:
Actualmente, la habilitación de la allow trusted services configuración no se aplica a App Service.
Permitir servicios de confianza (CLI)
De forma predeterminada, la opción para permitir servicios de confianza está habilitada en un nuevo registro de contenedor de Azure. Para deshabilitar o habilitar la configuración, ejecute el comando az acr update.
Para deshabilitarlo:
az acr update --name myregistry --allow-trusted-services false
Para habilitar la configuración en un registro existente o en un registro en el que ya está deshabilitada:
az acr update --name myregistry --allow-trusted-services true
Permitir servicios de confianza (portal)
De forma predeterminada, la opción para permitir servicios de confianza está habilitada en un nuevo registro de contenedor de Azure.
Para deshabilitar o volver a habilitar la configuración en el portal:
- En el portal, vaya al registro de contenedor.
- En Configuración, seleccione Redes.
- En Permitir el acceso de red público, seleccione Redes seleccionadas o Deshabilitado.
- Realice uno de los pasos siguientes:
- Para deshabilitar el acceso de los servicios de confianza, en Firewall exception (Excepción de firewall), desactive Allow trusted Microsoft services to access this container registry (Permitir que los servicios de Microsoft de confianza accedan a este registro de contenedor).
- Para admitir los servicios de confianza, en Firewall exception (Excepción de firewall), active Allow trusted Microsoft services to access this container registry (Permitir que los servicios de Microsoft de confianza accedan a este registro de contenedor).
- Seleccione Guardar.
Flujo de trabajo de los servicios de confianza
Este es un flujo de trabajo típico para permitir que una instancia de un servicio de confianza acceda a un registro de contenedor con restricción de red. Este flujo de trabajo es necesario cuando se usa la identidad administrada de una instancia de servicio para omitir las reglas de red del Registro.
- Habilite una identidad administrada en una instancia de uno de los servicios de confianza para Azure Container Registry.
- Asigne la identidad de un rol de Azure al registro. Por ejemplo, asigne
Container Registry Repository Reader(para registros habilitados para ABAC) oAcrPull(para registros que no son de ABAC). - Configure la configuración en el registro restringido de red para permitir el acceso por parte de los servicios de confianza.
- Use las credenciales de la identidad para autenticarse en el registro con restricción de red.
- Extraiga imágenes del registro o realice otras operaciones permitidas por el rol.
Pasos siguientes
- Para restringir el acceso a un registro mediante un punto de conexión privado de una red virtual, consulte Configuración de Azure Private Link para un registro de contenedor de Azure.
- Para configurar las reglas de firewall del registro, vea Configuración de reglas de red de dirección IP pública.