Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Avec Azure Container Registry, vous pouvez autoriser les services Azure approuvés à accéder à un registre configuré avec des règles d’accès réseau. Lorsque vous autorisez des services approuvés, une instance de service approuvé peut contourner en toute sécurité les règles réseau du Registre et effectuer des opérations telles que l’extraction ou l’envoi d’images. Cet article explique comment activer et utiliser les services approuvés avec un registre de conteneurs Azure limité au réseau.
Pour exécuter les exemples de commandes fournis dans cet article, utilisez Azure Cloud Shell ou une installation locale d’Azure CLI. Utilisez la version 2.18 ou ultérieure pour l’exécuter localement. Exécutez az --version pour trouver la version. Si vous devez installer ou mettre à niveau, voir Installer Azure CLI.
Limites
- Certains scénarios d’accès au registre avec des services approuvés requièrent une identité managée pour les ressources Azure. Sauf indication contraire indiquant qu'une identité gérée attribuée par l'utilisateur est prise en charge, seule une identité attribuée par le système peut être utilisée.
- L’autorisation des services de confiance ne s’applique pas à un registre de conteneurs configuré avec un point de terminaison de service. Cette fonctionnalité ne concerne que les registres dont l’accès est restreint par un point de terminaison privé ou qui appliquent des règles d’accès d’IP publiques.
À propos des services de confiance
Azure Container Registry a un modèle de sécurité en couches qui prend en charge plusieurs configurations réseau pour restreindre l’accès à un registre. Ces configurations sont les suivantes :
- Un point de terminaison privé avec Azure Private Link. Lorsqu’il est configuré, le point de terminaison privé d’un registre est accessible uniquement aux ressources du réseau virtuel, à l’aide d’adresses IP privées.
- Des règles de pare-feu de registre, qui autorisent l’accès au point de terminaison public du registre uniquement à partir d’IP publiques ou de plages d’IP publiques spécifiques. Vous pouvez également configurer le pare-feu pour bloquer tout accès au point de terminaison public quand des points de terminaison privés sont utilisés.
Lorsque vous déployez un registre dans un réseau virtuel ou que vous le configurez avec des règles de pare-feu, il refuse l’accès aux utilisateurs ou services provenant de l’extérieur de ces sources.
Plusieurs services Azure multilocataire fonctionnent à partir de réseaux que vous ne pouvez pas inclure dans ces paramètres réseau de Registre. Par conséquent, ces services ne peuvent pas effectuer d’opérations telles que l’extraction ou l’envoi d’images au Registre. En désignant certaines instances de service comme étant « de confiance », le propriétaire du registre peut autoriser certaines ressources Azure à contourner en toute sécurité les paramètres réseau du registre pour effectuer des opérations de registre.
Services approuvés
Les instances des services suivants peuvent accéder à un registre de conteneurs ayant un accès réseau restreint si le paramètre Autoriser les services approuvés du registre est activé (valeur par défaut). D’autres services seront ajoutés au fil du temps.
Lorsque cela est indiqué, l’accès par le service approuvé requiert une configuration supplémentaire d’une identité gérée dans une instance de service, l’attribution d’un rôle RBAC et l’authentification auprès du Registre. Pour obtenir des exemples d’étapes, consultez Flux de travail de services approuvés, plus loin dans cet article.
| Service approuvé | Scénarios d’utilisation pris en charge | Configurer une identité gérée avec le rôle RBAC |
|---|---|---|
| Azure Container Instances (Instances de Conteneur Azure) | Déployer sur Azure Container Instances à partir d’Azure Container Registry à l’aide d’une identité managée | Oui, identité affectée par le système ou par l’utilisateur. |
| Microsoft Defender pour le cloud | Analyse des vulnérabilités par Microsoft Defender pour les registres de conteneurs | Non |
| Apprentissage automatique | Déployer un modèle ou effectuer son apprentissage dans un espace de travail Machine Learning à l’aide d’une image conteneur Docker personnalisée | Oui |
| Azure Container Registry (Service d'enregistrement de conteneurs Azure) | Importer des images vers ou depuis un registre de conteneurs Azure avec des restrictions réseau | Non |
Remarque
Actuellement, l’activation du allow trusted services paramètre ne s’applique pas à App Service.
Autoriser les services approuvés – CLI
Par défaut, le paramètre Autoriser les services approuvés est activé dans un nouveau registre de conteneurs Azure. Désactivez ou activez le paramètre en exécutant la commande az acr update.
Pour désactiver :
az acr update --name myregistry --allow-trusted-services false
Pour activer le paramètre dans un registre existant ou dans un registre où il est déjà désactivé :
az acr update --name myregistry --allow-trusted-services true
Autoriser les services approuvés – Portail
Par défaut, le paramètre Autoriser les services approuvés est activé dans un nouveau registre de conteneurs Azure.
Pour désactiver ou réactiver le paramètre dans le portail :
- Dans le portail, accédez à votre registre de conteneurs.
- Sous Paramètres, sélectionnez Mise en réseau.
- Dans Autoriser l’accès au réseau public, sélectionnez Réseaux sélectionnés ou Désactivé.
- Effectuez l’une des étapes suivantes :
- Pour désactiver l’accès des services approuvés, sous Exception de pare-feu, décochez Autoriser les services Microsoft approuvés à accéder à ce registre de conteneurs.
- Pour autoriser les services approuvés, sous Exception de pare-feu, cochez Autoriser les services Microsoft approuvés à accéder à ce registre de conteneurs.
- Sélectionnez Enregistrer.
Workflow des services de confiance
Voici un workflow classique permettant à l’instance d’un service de confiance d’accéder à un registre de conteneurs ayant un accès réseau restreint. Ce flux de travail est nécessaire lorsque vous utilisez l’identité managée d’une instance de service pour contourner les règles réseau du Registre.
- Activez une identité managée dans une instance de l’un des services approuvés pour Azure Container Registry.
- Attribuez à l’identité un rôle Azure dans votre registre. Par exemple, attribuez le rôle ACRPull pour tirer (pull) des images conteneur.
- Configurez le paramètre dans le registre restreint au réseau pour autoriser l’accès par les services approuvés.
- Utilisez les informations d’identification de l’identité pour vous authentifier auprès du registre ayant un accès réseau restreint.
- Tirez (pull) des images du registre ou effectuer d’autres opérations autorisées par le rôle.
Étapes suivantes
- Pour restreindre l’accès à un registre à l’aide d’un point de terminaison privé dans un réseau virtuel, consultez Configurer Azure Private Link pour un registre de conteneurs Azure.
- Pour configurer des règles de pare-feu pour le registre, consultez Configurer des règles de réseau IP public.