Azure Container Registry 역할 목록 참조

Container Registry 기여자 및 데이터 액세스 구성 관리자

• 사용 사례: 이미지를 푸시/끌어오거나 역할을 할당할 수 있는 권한 없이 레지스트리를 만들고 구성하고, 레지스트리 인증 메커니즘을 설정하고, 레지스트리 네트워크 액세스를 관리하고, 레지스트리 정책을 관리해야 하는 레지스트리 관리자, CI/CD 파이프라인 또는 자동화된 프로세스에 적합합니다.
• 사용 권한: 인증 설정, 토큰, 프라이빗 엔드포인트, 네트워크 액세스 및 레지스트리 정책을 포함하여 레지스트리 및 레지스트리 구성을 만들고, 구성하고, 관리할 수 있는 제어 평면 액세스 권한을 부여합니다. 데이터 평면 작업(예: 이미지 푸시/끌어오기) 또는 역할 할당 기능은 포함하지 않습니다.
  • 컨트롤 플레인 권한:
    • 레지스트리 만들기, 업데이트, 보기, 나열 및 삭제( 레지스트리 SKU 및 가용성 영역 및 영역 중복성 포함)
    • 레지스트리에 대한 역할 할당 보기 및 나열(관리되지 않음)
    • 지역 복제 관리
    • 연결된 레지스트리 관리
    • 레지스트리 구성 업데이트
      • 레지스트리의 시스템 할당 관리 ID를 구성합니다. 참고: 레지스트리의 사용자 할당 관리 ID를 관리하려면 별도의 Managed Identity Operator 역할이 필요합니다.
      • 네트워크 액세스 설정 구성(공용 네트워크 액세스, 신뢰할 수 있는 서비스 바이패스, 네트워크 방화벽 규칙, 전용 데이터 엔드포인트 및 VNET(Virtual Network) 서비스 엔드포인트)
      • 프라이빗 엔드포인트 설정 구성(프라이빗 엔드포인트 연결 및 프라이빗 링크 리소스 설정, 승인, 거부 및 나열)
      • 인증 액세스 설정 구성(관리자 사용자 로그인 자격 증명, 익명 풀 요청, Microsoft 이외의 Entra 토큰 기반 저장소 권한 설정 및 Microsoft Entra 인증을 ARM 토큰으로 사용하는 대상)
      • 레지스트리 정책 구성( 보존 정책 구성, 레지스트리 전체 격리 사용, 일시 삭제 사용 및데이터 반출 내보내기 정책)
    • 레지스트리 진단 및 모니터링 설정 구성(진단 설정, 로그, 메트릭, 레지스트리 및 지역에서 복제에 대한 웹후크 및 Event Grid)
  • 데이터 평면 사용 권한:
    • 없음

Container Registry 구성 판독기 및 데이터 액세스 구성 읽기 권한자

• 사용 사례: 이미지를 푸시/끌어오거나 역할을 할당할 수 있는 권한 없이 레지스트리를 보고, 레지스트리 인증 메커니즘을 감사하고, 레지스트리 네트워크 액세스 구성을 감사하고, 레지스트리 정책을 보는 데만 필요한 감사자, 모니터링 시스템 및 취약성 스캐너에 적합합니다.
• 사용 권한: 인증 설정, 토큰, 프라이빗 엔드포인트, 네트워크 액세스 및 레지스트리 정책을 포함하여 레지스트리 및 레지스트리 구성을 보고 나열할 수 있는 제어 평면 액세스 권한을 부여합니다. 데이터 평면 작업(예: 이미지 푸시/끌어오기) 또는 역할 할당 기능은 포함하지 않습니다.
  • 컨트롤 플레인 권한:
    • 레지스트리 보기 및 나열( 레지스트리 SKU 및 가용성 영역 및 영역 중복성 포함)
    • 레지스트리에 대한 역할 할당 보기 및 나열(관리되지 않음)
    • 지역 복제 보기 및 나열
    • 연결된 레지스트리 보기 및 나열
    • 레지스트리 구성 보기
      • 레지스트리의 시스템 할당 관리 ID와 사용자 할당 관리 ID를 모두 보고 나열합니다.
      • 네트워크 액세스 설정 보기 및 나열(공용 네트워크 액세스, 신뢰할 수 있는 서비스 바이패스, 네트워크 방화벽 규칙, 전용 데이터 엔드포인트 및 VNET(Virtual Network) 서비스 엔드포인트)
      • 프라이빗 엔드포인트 설정 보기 및 나열(프라이빗 엔드포인트 연결 및 프라이빗 링크 리소스 설정, 승인, 거부 및 나열)
      • 인증 액세스 설정 보기 및 나열(관리자 사용자 로그인 자격 증명, 익명 끌어오기, 비 Microsoft Entra 토큰 기반 리포지토리 권한 및 Microsoft Entra 인증을 위한 ARM 토큰 대상 그룹)
      • 레지스트리 정책 보기 및 나열( 보존 정책 구성, 레지스트리 전체 격리 사용 상태, 일시 삭제 사용 및데이터 반출 내보내기 정책)
    • 레지스트리 진단 및 모니터링 설정 구성(진단 설정, 로그, 메트릭, 레지스트리 및 지역에서 복제에 대한 웹후크 및 Event Grid)
  • 데이터 평면 사용 권한:
    • 없음

Container Registry 작업 기여자

• 사용 사례: 다른 레지스트리 작업 또는 이미지 데이터에 액세스하지 않고 ACR 작업 및 작업 관련 리소스를 관리해야 하는 CI/CD 파이프라인 또는 자동화 도구와 같은 ID에 할당합니다.
• 사용 권한: 작업 정의, 실행, 작업 에이전트 풀, 빠른 작업( 및 az acr build포함), 작업 로그 및 az acr run를 포함하여 ACR 작업을 관리하기 위한 제어 평면 액세스 권한을 부여합니다. 작업 외부의 레지스트리 구성에 대한 액세스 또는 데이터 평면 사용 권한은 포함하지 않습니다.
  • 컨트롤 플레인 권한:
    • ACR 작업, 작업 실행, 작업 에이전트 풀, 빠른 작업(빠른 빌드 az acr build 및 빠른 실행 사용az acr run), 작업 로그 및 작업 ID 관리
      • ACR 태스크의 시스템 할당 관리 ID를 구성할 수 있는 권한을 부여합니다. 참고: ACR 작업의 사용자 할당 관리 ID를 관리하려면 별도의 Managed Identity Operator 역할이 필요합니다.
      • ACR 태스크에 대한 자동 제거를 관리할 수 있는 권한 부여
      • ABAC 사용 레지스트리의 경우 ACR 작업, 빠른 빌드 및 빠른 실행에는 리포지토리 내에서 이미지 및 태그를 푸시, 끌어오기 또는 삭제할 수 있는 기본 데이터 평면 권한이 없습니다. ACR 작업, 빠른 작업, 빠른 빌드 및 빠른 실행에서 ABAC를 사용하도록 설정하는 효과를 참조하세요.
        • 데이터 평면 작업을 수행하려면 ABAC 사용 레지스트리에 속하는 ACR 태스크는 태스크 ID에 Container Registry Repository Reader/Writer/Contributor 역할과 Container Registry Repository Catalog Lister 역할이 할당되어 있어야 합니다.
        • 빠른 빌드 및 빠른 실행의 경우 빠른 작업을 호출하는 ID(호출자)에는 Container Registry Repository Reader/Writer/Contributor 데이터 평면 작업을 수행하기 위해 할당된 역할과 Container Registry Repository Catalog Lister 역할이 있어야 합니다.
  • 데이터 평면 사용 권한:
    • 없음

컨테이너 레지스트리 전송 파이프라인 기여자

• 사용 사례: 네트워크, 테넌트 또는 에어 갭 경계 간에 아티팩트를 이동하기 위해 ACR 전송 파이프라인 을 관리해야 하는 CI/CD 파이프라인 또는 자동화 프로세스에 할당합니다. 이 역할은 격리된 환경을 연결하기 위해 전송이 중간 Azure Storage 계정을 통해 전달되어야 하는 경우에 이상적입니다.
• 사용 권한: 중간 스토리지 계정을 사용하여 ACR 가져오기/내보내기 전송 파이프라인 을 구성하고 작동하도록 제어 평면 액세스 권한을 부여하여 연결이 끊어진 환경 또는 분할된 환경 간에 안전한 아티팩트 전송을 사용하도록 설정합니다. 데이터 평면 사용 권한, 광범위한 레지스트리 액세스 또는 스토리지 계정 또는 키 자격 증명 모음과 같은 다른 Azure 리소스 유형을 관리할 수 있는 권한은 포함되지 않습니다.
  • 컨트롤 플레인 권한:
    • 네트워크, 테넌트 또는 에어갭 경계를 넘어 중간 스토리지 계정을 사용하여 레지스트리 간에 아티팩트를 전송하는 ACR 전송 파이프라인(가져오기 파이프라인, 내보내기 파이프라인 및 가져오기/내보내기 파이프라인 실행) 관리
  • 데이터 평면 사용 권한:
    • 없음

Container Registry 데이터 가져오기 및 데이터 판독기

• 사용 사례: 다른 레지스트리az acr import에서 이미지를 가져와야 하는 CI/CD 파이프라인과 같은 ID에 할당합니다. 또한 이 역할을 사용하면 레지스트리에서 이미지 및 아티팩트를 읽어 가져오기 작업의 성공 유효성을 검사할 수 있습니다.
• 사용 권한: 컨트롤 플레인 액세스 권한을 부여하여 이미지 및 아티팩트 끌어오기, 리포지토리 콘텐츠 보기, OCI(Open Container Initiative) 참조자, 태그 및 아티팩트 스트리밍 구성에 대한 데이터 평면 액세스를 사용하여 az acr import이미지 가져오기를 트리거할 수 있습니다. 레지스트리의 콘텐츠를 푸시하거나 수정하는 것을 허용하지 않습니다.
  • 컨트롤 플레인 권한:
    • ACR 이미지 가져오기를 az acr import 트리거합니다.
  • 데이터 평면 사용 권한:
    • 레지스트리의 리포지토리 내에서 이미지 및 아티팩트 끌어오기
    • OCI 참조자 아티팩트 보기 및 나열
    • 태그와 같은 이미지 및 아티팩트 메타데이터 보기 및 나열
    • 레지스트리에서 리포지토리(이미지 이름) 보기 및 나열
    • 리포지토리 및 이미지에 대한 아티팩트 스트리밍 구성 보기(예: 자동 아티팩트 스트리밍 변환을 위한 리포지토리 정책 보기 및 이미지에 대한 아티팩트 스트리밍 구성 보기)

Container Registry 기여자 및 데이터 액세스 구성 관리자

• 사용 사례: 이미지를 푸시/끌어오거나 역할을 할당할 수 있는 권한 없이 레지스트리를 만들고 구성하고, 레지스트리 인증 메커니즘을 설정하고, 레지스트리 네트워크 액세스를 관리하고, 레지스트리 정책을 관리해야 하는 레지스트리 관리자, CI/CD 파이프라인 또는 자동화된 프로세스에 적합합니다.
• 사용 권한: 인증 설정, 토큰, 프라이빗 엔드포인트, 네트워크 액세스 및 레지스트리 정책을 포함하여 레지스트리 및 레지스트리 구성을 만들고, 구성하고, 관리할 수 있는 제어 평면 액세스 권한을 부여합니다. 데이터 평면 작업(예: 이미지 푸시/끌어오기) 또는 역할 할당 기능은 포함하지 않습니다.
  • 컨트롤 플레인 권한:
    • 레지스트리 만들기, 업데이트, 보기, 나열 및 삭제( 레지스트리 SKU 및 가용성 영역 및 영역 중복성 포함)
    • 레지스트리에 대한 역할 할당 보기 및 나열(관리되지 않음)
    • 지역 복제 관리
    • 연결된 레지스트리 관리
    • 레지스트리 구성 업데이트
      • 레지스트리의 시스템 할당 관리 ID를 구성합니다. 참고: 레지스트리의 사용자 할당 관리 ID를 관리하려면 별도의 Managed Identity Operator 역할이 필요합니다.
      • 네트워크 액세스 설정 구성(공용 네트워크 액세스, 신뢰할 수 있는 서비스 바이패스, 네트워크 방화벽 규칙, 전용 데이터 엔드포인트 및 VNET(Virtual Network) 서비스 엔드포인트)
      • 프라이빗 엔드포인트 설정 구성(프라이빗 엔드포인트 연결 및 프라이빗 링크 리소스 설정, 승인, 거부 및 나열)
      • 인증 액세스 설정 구성(관리자 사용자 로그인 자격 증명, 익명 끌어오기, Entra가 아닌 토큰 기반 리포지토리 권한 및 Entra 인증-as-arm 토큰의 수신자)
      • 레지스트리 정책 구성( 보존 정책 구성, 레지스트리 전체 격리 사용, 일시 삭제 사용 및데이터 반출 내보내기 정책)
    • 레지스트리 진단 및 모니터링 설정 구성(진단 설정, 로그, 메트릭, 레지스트리 및 지역에서 복제에 대한 웹후크 및 Event Grid)
  • 데이터 평면 사용 권한:
    • 없음

Container Registry 구성 판독기 및 데이터 액세스 구성 읽기 권한자

• 사용 사례: 이미지를 푸시/끌어오거나 역할을 할당할 수 있는 권한 없이 레지스트리를 보고, 레지스트리 인증 메커니즘을 감사하고, 레지스트리 네트워크 액세스 구성을 감사하고, 레지스트리 정책을 보는 데만 필요한 감사자, 모니터링 시스템 및 취약성 스캐너에 적합합니다.
• 사용 권한: 인증 설정, 토큰, 프라이빗 엔드포인트, 네트워크 액세스 및 레지스트리 정책을 포함하여 레지스트리 및 레지스트리 구성을 보고 나열할 수 있는 제어 평면 액세스 권한을 부여합니다. 데이터 평면 작업(예: 이미지 푸시/끌어오기) 또는 역할 할당 기능은 포함하지 않습니다.
  • 컨트롤 플레인 권한:
    • 레지스트리 보기 및 나열( 레지스트리 SKU 및 가용성 영역 및 영역 중복성 포함)
    • 레지스트리에 대한 역할 할당 보기 및 나열(관리되지 않음)
    • 지역 복제 보기 및 나열
    • 연결된 레지스트리 보기 및 나열
    • 레지스트리 구성 보기
      • 레지스트리의 시스템 할당 관리 ID와 사용자 할당 관리 ID를 모두 보고 나열합니다.
      • 네트워크 액세스 설정 보기 및 나열(공용 네트워크 액세스, 신뢰할 수 있는 서비스 바이패스, 네트워크 방화벽 규칙, 전용 데이터 엔드포인트 및 VNET(Virtual Network) 서비스 엔드포인트)
      • 프라이빗 엔드포인트 설정 보기 및 나열(프라이빗 엔드포인트 연결 및 프라이빗 링크 리소스 설정, 승인, 거부 및 나열)
      • 인증 액세스 설정 보기 및 나열(관리자 사용자 로그인 자격 증명, 익명 끌어오기, 비 Entra 토큰 기반 리포지토리 권한 및 Entra 인증-as-arm 토큰 대상 그룹)
      • 레지스트리 정책 보기 및 나열( 보존 정책 구성, 레지스트리 전체 격리 사용 상태, 일시 삭제 사용 및데이터 반출 내보내기 정책)
    • 레지스트리 진단 및 모니터링 설정 구성(진단 설정, 로그, 메트릭, 레지스트리 및 지역에서 복제에 대한 웹후크 및 Event Grid)
  • 데이터 평면 사용 권한:
    • 없음

Container Registry 작업 기여자

• 사용 사례: 다른 레지스트리 작업 또는 이미지 데이터에 액세스하지 않고 ACR 작업 및 작업 관련 리소스를 관리해야 하는 CI/CD 파이프라인 또는 자동화 도구와 같은 ID에 할당합니다.
• 사용 권한: 작업 정의, 실행, 작업 에이전트 풀, 빠른 작업( 및 az acr build포함), 작업 로그 및 az acr run를 포함하여 ACR 작업을 관리하기 위한 제어 평면 액세스 권한을 부여합니다. 작업 외부의 레지스트리 구성에 대한 액세스 또는 데이터 평면 사용 권한은 포함하지 않습니다.
  • 컨트롤 플레인 권한:
    • ACR 작업, 작업 실행, 작업 에이전트 풀, 빠른 작업(빠른 빌드 az acr build 및 빠른 실행 사용az acr run), 작업 로그 및 작업 ID 관리
      • ACR 태스크의 시스템 할당 관리 ID를 구성합니다. 참고: ACR 작업의 사용자 할당 관리 ID를 관리하려면 별도의 Managed Identity Operator 역할이 필요합니다.
      • ACR 작업에서 자동 삭제 관리
  • 데이터 평면 사용 권한:
    • 없음

컨테이너 레지스트리 전송 파이프라인 기여자

• 사용 사례: 네트워크, 테넌트 또는 에어 갭 경계 간에 아티팩트를 이동하기 위해 ACR 전송 파이프라인 을 관리해야 하는 CI/CD 파이프라인 또는 자동화 프로세스에 할당합니다. 이 역할은 격리된 환경을 연결하기 위해 전송이 중간 Azure Storage 계정을 통해 전달되어야 하는 경우에 이상적입니다.
• 사용 권한: 중간 스토리지 계정을 사용하여 ACR 가져오기/내보내기 전송 파이프라인 을 구성하고 작동하도록 제어 평면 액세스 권한을 부여하여 연결이 끊어진 환경 또는 분할된 환경 간에 안전한 아티팩트 전송을 사용하도록 설정합니다. 데이터 평면 사용 권한, 광범위한 레지스트리 액세스 또는 스토리지 계정 또는 키 자격 증명 모음과 같은 다른 Azure 리소스 유형을 관리할 수 있는 권한은 포함되지 않습니다.
  • 컨트롤 플레인 권한:
    • 네트워크, 테넌트 또는 에어갭 경계를 넘어 중간 스토리지 계정을 사용하여 레지스트리 간에 아티팩트를 전송하는 ACR 전송 파이프라인(가져오기 파이프라인, 내보내기 파이프라인 및 가져오기/내보내기 파이프라인 실행) 관리
  • 데이터 평면 사용 권한:
    • 없음

Container Registry 데이터 가져오기 및 데이터 판독기

• 사용 사례: 다른 레지스트리az acr import에서 이미지를 가져와야 하는 CI/CD 파이프라인과 같은 ID에 할당합니다. 또한 이 역할을 사용하면 레지스트리에서 이미지 및 아티팩트를 읽어 가져오기 작업의 성공 유효성을 검사할 수 있습니다.
• 사용 권한: 컨트롤 플레인 액세스 권한을 부여하여 이미지 및 아티팩트 끌어오기, 리포지토리 콘텐츠 보기, OCI(Open Container Initiative) 참조자, 태그 및 아티팩트 스트리밍 구성에 대한 데이터 평면 액세스를 사용하여 az acr import이미지 가져오기를 트리거할 수 있습니다. 레지스트리의 콘텐츠를 푸시하거나 수정하는 것을 허용하지 않습니다.
  • 컨트롤 플레인 권한:
    • ACR 이미지 가져오기를 az acr import 트리거합니다.
  • 데이터 평면 사용 권한:
    • 레지스트리의 리포지토리 내에서 이미지 및 아티팩트 끌어오기
    • OCI 참조자 아티팩트 보기 및 나열
    • 태그와 같은 이미지 및 아티팩트 메타데이터 보기 및 나열
    • 레지스트리에서 리포지토리(이미지 이름) 보기 및 나열
    • 리포지토리 및 이미지에 대한 아티팩트 스트리밍 구성 보기(예: 자동 아티팩트 스트리밍 변환을 위한 리포지토리 정책 보기 및 이미지에 대한 아티팩트 스트리밍 구성 보기)

Container Registry 리포지토리 읽기 권한자

• 사용 사례: 콘텐츠를 푸시하거나 수정할 수 있는 권한 없이 이미지를 끌어오고 리포지토리 메타데이터만 읽어야 하는 컨테이너 호스트 노드, 오케스트레이터, 취약성 스캐너 또는 개발자에게 할당합니다.
• 사용 권한: 이미지 및 아티팩트 끌어오기, 뷰 태그, 리포지토리, OCI(Open Container Initiative) 참조자 및 아티팩트 스트리밍 구성에 대한 데이터 평면 읽기 전용 액세스 권한을 부여합니다. 컨트롤 플레인 또는 쓰기 권한을 포함하지 않습니다.
  • 컨트롤 플레인 권한:
    • 없음
  • 데이터 평면 사용 권한:
    • 레지스트리의 리포지토리 내에서 이미지 및 아티팩트 끌어오기
    • OCI 참조자 아티팩트 보기 및 나열
    • 태그와 같은 이미지 및 아티팩트 메타데이터 보기 및 나열
    • 레지스트리에서 리포지토리(이미지 이름) 보기 및 나열
    • 리포지토리 및 이미지에 대한 아티팩트 스트리밍 구성 보기(예: 자동 아티팩트 스트리밍 변환을 위한 리포지토리 정책 보기 및 이미지에 대한 아티팩트 스트리밍 구성 보기)
    • 리포지토리 카탈로그 목록 권한을 부여하지 않습니다.
  • ABAC 지원: 특정 리포지토리로 역할 할당 범위를 지정하는 선택적 Microsoft Entra ABAC 조건을 지원합니다.

Container Registry 리포지토리 기록기

• 사용 사례: 레지스트리 구성 또는 설정을 제어할 필요 없이 컨테이너 이미지를 푸시 및 끌어오고, 태그를 관리하고, 아티팩트로 작업해야 하는 CI/CD 파이프라인, 자동화 도구 또는 개발자에게 할당합니다. 또한 신뢰할 수 있는 공급망의 일부로 이미지를 서명하는 자동화된 프로세스 또는 서비스에 할당합니다.
• 사용 권한: 데이터 평면에 이미지 및 아티팩트 푸시 및 끌어오기, 태그 읽기/관리, OCI 참조자 읽기/관리, 리포지토리 및 이미지에 대한 아티팩트 스트리밍을 사용하도록 설정(사용 안 함)할 수 있는 액세스 권한을 부여합니다. 컨트롤 플레인 권한은 포함되어 있지 않습니다.
  • 컨트롤 플레인 권한:
    • 없음
  • 데이터 평면 사용 권한:
    • 레지스트리의 리포지토리 내에서 이미지 및 아티팩트 푸시 및 끌어오기
    • OCI 참조자 아티팩트 만들기, 보기 및 나열
    • 이미지 및 아티팩트 메타데이터 관리(태그 만들기, 읽기, 나열하기, 재태그하기 및 태그 제거하기)
    • 레지스트리에서 리포지토리(이미지 이름) 보기 및 나열
    • 리포지토리 및 이미지에 대한 아티팩트 스트리밍 구성(예: 자동 아티팩트 스트리밍 변환을 위한 리포지토리 정책 설정 및 특정 이미지에 대한 아티팩트 스트리밍 변환 사용(사용 안 함)
    • 리포지토리 카탈로그 목록 권한을 부여하지 않습니다.
  • ABAC 지원: 특정 리포지토리로 역할 할당 범위를 지정하는 선택적 Microsoft Entra ABAC 조건을 지원합니다.

Container Registry 리포지토리 기여자

• 사용 사례: 이미지 수명 주기 및 정리를 관리하는 ID 또는 서비스에 할당합니다.
• 사용 권한: 이미지 및 아티팩트 읽기, 쓰기, 업데이트 및 삭제 , 태그 읽기/관리/삭제, OCI 참조 읽기/관리/삭제, 리포지토리 및 이미지에 대한 아티팩트 스트리밍 사용/사용 안 함 권한을 부여합니다. 컨트롤 플레인 권한은 포함되어 있지 않습니다.
  • 컨트롤 플레인 권한:
    • 없음
  • 데이터 평면 사용 권한:
    • 레지스트리의 리포지토리 내에서 이미지 및 아티팩트 푸시, 끌어오기 및 삭제
    • OCI 참조자 아티팩트 만들기, 보기, 나열 및 삭제
    • 태그(만들기, 읽기, 나열하기, 재태그, 태그 제거 및 삭제)와 같은 이미지 및 아티팩트 메타데이터 관리 및 삭제
    • 레지스트리에서 리포지토리(이미지 이름) 보기 및 나열
    • 리포지토리 및 이미지에 대한 아티팩트 스트리밍 구성(예: 자동 아티팩트 스트리밍 변환을 위한 리포지토리 정책 설정 및 특정 이미지에 대한 아티팩트 스트리밍 변환 사용/사용 안 함 )
    • 리포지토리 카탈로그 목록 권한을 부여하지 않습니다.
  • ABAC 지원: 특정 리포지토리로 역할 할당 범위를 지정하는 선택적 Microsoft Entra ABAC 조건을 지원합니다.

Container Registry 리포지토리 카탈로그 목록

• 사용 사례: CI/CD 파이프라인, 개발자, 취약성 스캐너 또는 레지스트리 모니터링 및 감사 도구와 같은 레지스트리의 모든 리포지토리를 나열 해야 하는 ID 또는 서비스에 할당합니다.
• 사용 권한: 레지스트리의 모든 리포지토리를 나열 할 수 있는 데이터 평면 액세스 권한을 부여합니다. 컨트롤 플레인 관련 권한 또는 이미지 푸시/풀 하기 위한 권한이 포함되어 있지 않습니다.
  • 컨트롤 플레인 권한:
    • 없음
  • 데이터 평면 사용 권한:
    • 레지스트리의 모든 리포지토리(이미지 이름) 나열
    • 레지스트리 내 모든 리포지토리를 나열하기 위해 {loginServerURL}/acr/v1/_catalog 또는 {loginServerURL}/v2/_catalog 레지스트리 API 엔드포인트를 호출할 수 있는 권한을 부여합니다.
    • 리포지토리 내에서 이미지, 아티팩트, 태그 또는 OCI 참조자를 보거나 나열할 수 있는 권한을 부여하지 않습니다.
  • ABAC 지원: 이 역할은 Entra ABAC 조건을 지원하지 않습니다. 따라서 이 역할 할당은 레지스트리의 모든 리포지토리를 나열할 수 있는 권한을 부여 합니다.

AcrQuarantineWriter

• 사용 사례: CI/CD 파이프라인 및 취약성 스캐너와 같이 격리된 이미지를 관리하는 자동화된 프로세스 또는 서비스에 할당합니다.
• 사용 권한: 레지스트리에서 격리된 이미지를 관리합니다.
  • 컨트롤 플레인 권한:
    • 없음
  • 데이터 평면 사용 권한:
    • 격리된 아티팩트 관리(격리된 아티팩트 나열 및 읽기, 아티팩트 격리 상태 수정)
  • ABAC 지원: Microsoft Entra ABAC 조건을 지원하지 않습니다.

AcrQuarantineReader

• 사용 사례: CI/CD 파이프라인 및 취약성 스캐너와 같은 격리된 이미지를 나열, 읽기 및 끌어오는 자동화된 프로세스 또는 서비스에 할당합니다.
• 사용 권한: 레지스트리에서 격리된 이미지를 나열, 읽기 및 끌어오기.
  • 컨트롤 플레인 권한:
    • 없음
  • 데이터 평면 사용 권한:
    • 격리된 아티팩트 보기 및 나열(관리되지 않음)
  • ABAC 지원: Microsoft Entra ABAC 조건을 지원하지 않습니다.

AcrPush

• 사용 사례: 레지스트리 구성 또는 설정을 제어할 필요 없이 컨테이너 이미지를 푸시 및 끌어오고, 태그를 관리하고, 아티팩트로 작업해야 하는 CI/CD 파이프라인, 자동화 도구 또는 개발자에게 할당합니다.
• 사용 권한: 데이터 평면에 이미지 및 아티팩트 푸시 및 끌어오기, 태그 관리, OCI 참조자 작업 및 리포지토리 및 이미지에 대한 아티팩트 스트리밍 구성에 대한 액세스 권한을 부여합니다. 컨트롤 플레인 권한은 포함되어 있지 않습니다.
  • 컨트롤 플레인 권한:
    • 없음
  • 데이터 평면 사용 권한:
    • 레지스트리의 리포지토리 내에서 이미지 및 아티팩트 푸시 및 끌어오기
    • OCI 참조자 아티팩트 만들기, 보기, 나열 및 삭제
    • 이미지 및 아티팩트 메타데이터 관리(태그 만들기, 읽기, 나열하기, 재태그하기 및 태그 제거하기)
    • 레지스트리에서 리포지토리(이미지 이름) 보기 및 나열
    • 리포지토리 및 이미지에 대한 아티팩트 스트리밍 구성(예: 자동 아티팩트 스트리밍 변환을 위한 리포지토리 정책 설정 및 특정 이미지에 대한 아티팩트 스트리밍 변환 사용(사용 안 함)

아크풀

• 사용 사례: 콘텐츠를 푸시하거나 수정할 수 있는 권한 없이 이미지를 끌어오고 리포지토리 메타데이터만 읽어야 하는 컨테이너 호스트 노드, 오케스트레이터, 취약성 스캐너 또는 개발자에게 할당합니다.
• 사용 권한: 이미지 및 아티팩트 끌어오기, 뷰 태그, 리포지토리, OCI 참조자 및 아티팩트 스트리밍 구성에 대한 데이터 평면 읽기 전용 액세스 권한을 부여합니다. 컨트롤 플레인 또는 쓰기 권한을 포함하지 않습니다.
  • 컨트롤 플레인 권한:
    • 없음
  • 데이터 평면 사용 권한:
    • 레지스트리의 리포지토리 내에서 이미지 및 아티팩트 끌어오기
    • OCI 참조자 아티팩트 보기 및 나열
    • 태그와 같은 이미지 및 아티팩트 메타데이터 보기 및 나열
    • 레지스트리에서 리포지토리(이미지 이름) 보기 및 나열
    • 리포지토리 및 이미지에 대한 아티팩트 스트리밍 구성 보기(예: 자동 아티팩트 스트리밍 변환을 위한 리포지토리 정책 보기 및 이미지에 대한 아티팩트 스트리밍 구성 보기)

AcrDelete

• 사용 사례: 이미지 수명 주기 및 정리를 관리하는 ID 또는 서비스에 할당합니다.
• 사용 권한: 레지스트리에서 아티팩트 및 태그를 삭제합니다.
  • 컨트롤 플레인 권한:
    • 없음
  • 데이터 평면 사용 권한:
    • 이미지, 아티팩트, 다이제스트 및 태그 삭제
    • 이미지의 스트리밍 OCI 참조자 아티팩트를 삭제하여 특정 이미지에 대한 아티팩트 스트리밍 지원을 사용하지 않도록 설정합니다.

AcrImageSigner

• 사용 사례: CI/CD 파이프라인과 같은 신뢰할 수 있는 공급망의 일부로 이미지를 서명하는 자동화된 프로세스 또는 서비스에 할당합니다.
• 사용 권한: DCT(Docker Content Trust)를 사용하여 레지스트리의 이미지에 서명합니다. Docker 콘텐츠 트러스트는 더 이상 사용되지 않습니다.
  • 컨트롤 플레인 권한:
    • 없음
  • 데이터 평면 사용 권한:
    • DOCKER DCT(Content Trust)를 사용하여 컨테이너 이미지 서명

AcrQuarantineWriter

• 사용 사례: CI/CD 파이프라인 및 취약성 스캐너와 같이 격리된 이미지를 관리하는 자동화된 프로세스 또는 서비스에 할당합니다.
• 사용 권한: 레지스트리에서 격리된 이미지를 관리합니다.
  • 컨트롤 플레인 권한:
    • 없음
  • 데이터 평면 사용 권한:
    • 격리된 아티팩트 관리(격리된 아티팩트 나열 및 읽기, 아티팩트 격리 상태 수정)

AcrQuarantineReader

• 사용 사례: CI/CD 파이프라인 및 취약성 스캐너와 같은 격리된 이미지를 나열, 읽기 및 끌어오는 자동화된 프로세스 또는 서비스에 할당합니다.
• 사용 권한: 레지스트리에서 격리된 이미지를 나열, 읽기 및 끌어오기.
  • 컨트롤 플레인 권한:
    • 없음
  • 데이터 평면 사용 권한:
    • 격리된 아티팩트 보기 및 나열(관리되지 않음)

소유자

• 사용 사례: 다른 ID에 역할을 할당하고 레지스트리에 대한 역할 할당을 수행하는 기능을 포함하여 레지스트리에 대한 완전한 제어가 필요한 관리자에게 할당합니다.
• 사용 권한: 역할 할당 권한 및 Microsoft Entra 기반 리포지토리 권한 관리를 포함하여 모든 레지스트리 제어 평면 작업에 대한 모든 액세스 권한입니다.
  • 컨트롤 플레인 권한:
    • 레지스트리 만들기, 업데이트, 보기, 나열 및 삭제( 레지스트리 SKU 및 가용성 영역 및 영역 중복성 포함)
    • 레지스트리에 대한 역할 할당 관리
    • 지역 복제 관리
    • 연결된 레지스트리 관리
    • ACR 작업, 작업 실행, 작업 에이전트 풀, 빠른 작업(빠른 빌드 az acr build 및 빠른 실행 사용az acr run), 작업 로그 및 작업 ID 관리
      • ACR 태스크의 시스템 할당 관리 ID를 구성할 수 있는 권한을 부여합니다. 참고: ACR 작업의 사용자 할당 관리 ID를 관리하려면 별도의 Managed Identity Operator 역할이 필요합니다.
      • ACR 태스크에 대한 자동 제거를 관리할 수 있는 권한 부여
      • ABAC 사용 레지스트리의 경우 ACR 작업, 빠른 빌드 및 빠른 실행에는 리포지토리 내에서 이미지 및 태그를 푸시, 끌어오기 또는 삭제할 수 있는 기본 데이터 평면 권한이 없습니다. ACR 작업, 빠른 작업, 빠른 빌드 및 빠른 실행에서 ABAC를 사용하도록 설정하는 효과를 참조하세요.
        • 데이터 평면 작업을 수행하려면 ABAC 사용 레지스트리에 속하는 ACR 태스크는 태스크 ID에 Container Registry Repository Reader/Writer/Contributor 역할과 Container Registry Repository Catalog Lister 역할이 할당되어 있어야 합니다.
        • 빠른 빌드 및 빠른 실행의 경우 빠른 작업을 호출하는 ID(호출자)에는 Container Registry Repository Reader/Writer/Contributor 데이터 평면 작업을 수행하기 위해 할당된 역할과 Container Registry Repository Catalog Lister 역할이 있어야 합니다.
    • 아티팩트 캐시 규칙 및 자격 증명 집합 구성
    • ACR 이미지 가져오기를 az acr import 트리거합니다.
    • 네트워크, 테넌트 또는 에어갭 경계를 넘어 중간 스토리지 계정을 사용하여 레지스트리 간에 아티팩트를 전송하는 ACR 전송 파이프라인(가져오기 파이프라인, 내보내기 파이프라인 및 가져오기/내보내기 파이프라인 실행) 관리
    • 레지스트리 구성 업데이트
      • 레지스트리의 시스템 할당 관리 ID를 구성합니다. 참고: 레지스트리의 사용자 할당 관리 ID를 관리하려면 별도의 Managed Identity Operator 역할이 필요합니다.
      • 네트워크 액세스 설정 구성(공용 네트워크 액세스, 신뢰할 수 있는 서비스 바이패스, 네트워크 방화벽 규칙, 전용 데이터 엔드포인트 및 VNET(Virtual Network) 서비스 엔드포인트)
      • 프라이빗 엔드포인트 설정 구성(프라이빗 엔드포인트 연결 및 프라이빗 링크 리소스 설정, 승인, 거부 및 나열)
      • 인증 액세스 설정 구성(관리자 사용자 로그인 자격 증명, 익명 풀 요청, Microsoft 이외의 Entra 토큰 기반 저장소 권한 설정 및 Microsoft Entra 인증을 ARM 토큰으로 사용하는 대상)
      • 레지스트리 정책 구성( 보존 정책 구성, 격리 사용, 일시 삭제 사용 및데이터 반출 내보내기 정책)
    • 레지스트리 진단 및 모니터링 설정 구성(진단 설정, 로그, 메트릭, 레지스트리 및 지역에서 복제에 대한 웹후크 및 Event Grid)
    • 레지스트리 사용량 보기(스토리지 사용량)
  • 데이터 평면 사용 권한:
    • 없음 - ABAC 사용 레지스트리에는 기본 제공 소유자 역할에 대한 데이터 평면 권한이 없습니다.

기여자

• 사용 사례: 레지스트리를 관리해야 하지만 역할 할당 권한이 필요하지 않은 ID에 할당합니다.
• 사용 권한: 역할 할당 권한을 제외한 모든 레지스트리 제어 평면 작업에 대한 모든 액세스 권한입니다.
  • 컨트롤 플레인 권한:
    • 레지스트리에 대한 역할 할당을 관리하거나 수행하는 경우를 제외하고 소유자 와 동일합니다. 레지스트리에 대한 역할 할당을 보고 나열하는 권한만 부여됩니다.
    • 참고: 레지스트리 Role Based Access Control Administrator 에 대한 역할 할당을 관리하거나 수행하려면 역할이 필요합니다. 역할 할당을 관리할 때 Owner 대신 사용할 덜 권한 있는 역할이 권장됩니다.
  • 데이터 평면 사용 권한:
    • 없음 - ABAC 사용 레지스트리에는 기본 제공 기여자 역할에 대한 데이터 평면 권한이 없습니다.

판독기

• 사용 사례: 레지스트리 및 레지스트리 구성만 보고 나열해야 하는 ID에 할당합니다.
• 사용 권한: 소유자 및 참가자와 동일한 표시 유형을 부여하지만 읽기 전용 작업으로 제한됩니다. 레지스트리에 대한 만들기, 업데이트 또는 삭제 작업을 허용하지 않습니다.
  • 컨트롤 플레인 권한:
    • 레지스트리 보기 및 나열( 레지스트리 SKU 및 가용성 영역 및 영역 중복성 포함)
    • 레지스트리에 대한 역할 할당 보기 및 나열(관리되지 않음)
    • 지역 복제 보기 및 나열
    • 연결된 레지스트리 보기 및 나열
    • ACR 작업 보기 및 나열, 작업 실행, 작업 에이전트 풀, 작업 로그 및 작업 식별자
    • 아티팩트 캐시 규칙 및 자격 증명 집합 보기 및 나열
    • 네트워크, 테넌트 또는 에어 갭 경계 전반에 걸쳐 중간 스토리지 계정을 사용하여 레지스트리 간에 아티팩트를 전송하는 ACR 전송 파이프라인(가져오기 파이프라인, 내보내기 파이프라인 및 가져오기/내보내기 파이프라인 실행)을 보고 나열하기
    • 레지스트리 구성 보기
      • 레지스트리의 시스템 할당 관리 ID와 사용자 할당 관리 ID를 모두 보고 나열합니다.
      • 네트워크 액세스 설정 보기 및 나열(공용 네트워크 액세스, 신뢰할 수 있는 서비스 바이패스, 네트워크 방화벽 규칙, 전용 데이터 엔드포인트 및 VNET(Virtual Network) 서비스 엔드포인트)
      • 프라이빗 엔드포인트 설정 보기 및 나열(프라이빗 엔드포인트 연결 및 프라이빗 링크 리소스 설정, 승인, 거부 및 나열)
      • 인증 액세스 설정 보기 및 나열(관리자 사용자 로그인 자격 증명, 익명 끌어오기, 비 Microsoft Entra 토큰 기반 리포지토리 권한 및 Microsoft Entra 인증을 위한 ARM 토큰 대상 그룹)
      • 레지스트리 정책 보기 및 나열( 보존 정책 구성, 격리 사용, 일시 삭제 사용 및데이터 반출 내보내기 정책)
    • 레지스트리 진단 및 모니터링 설정 보기 및 나열(진단 설정, 로그, 메트릭, 레지스트리 및 지역 복제에 대한 웹후크, Event Grid)
    • 레지스트리 사용량 보기(스토리지 사용량)
  • 데이터 평면 사용 권한:
    • 없음 - ABAC 사용 레지스트리에는 기본 제공 읽기 권한자 역할에 대한 데이터 평면 권한이 없습니다.

소유자

• 사용 사례: 다른 ID에 역할을 할당하고 레지스트리에 대한 역할 할당을 수행하는 기능을 포함하여 레지스트리에 대한 완전한 제어가 필요한 관리자에게 할당합니다.
• 사용 권한: 역할 할당 권한 및 Microsoft Entra 기반 리포지토리 권한 관리를 포함하여 모든 레지스트리 컨트롤 플레인 작업 및 데이터 평면 작업에 대한 모든 액세스 권한입니다.
  • 컨트롤 플레인 권한:
    • 레지스트리 만들기, 업데이트, 보기, 나열 및 삭제( 레지스트리 SKU 및 가용성 영역 및 영역 중복성 포함)
    • 레지스트리에 대한 역할 할당 관리
    • 지역 복제 관리
    • 연결된 레지스트리 관리
    • ACR 작업, 작업 실행, 작업 에이전트 풀, 빠른 작업(빠른 빌드 az acr build 및 빠른 실행 사용az acr run), 작업 로그 및 작업 ID 관리
      • ACR 태스크의 시스템 할당 관리 ID를 구성할 수 있는 권한을 부여합니다. 참고: ACR 작업의 사용자 할당 관리 ID를 관리하려면 별도의 Managed Identity Operator 역할이 필요합니다.
      • ACR 태스크에 대한 자동 제거를 관리할 수 있는 권한 부여
    • 아티팩트 캐시 규칙 및 자격 증명 집합 구성
    • ACR 이미지 가져오기를 az acr import 트리거합니다.
    • 네트워크, 테넌트 또는 에어갭 경계를 넘어 중간 스토리지 계정을 사용하여 레지스트리 간에 아티팩트를 전송하는 ACR 전송 파이프라인(가져오기 파이프라인, 내보내기 파이프라인 및 가져오기/내보내기 파이프라인 실행) 관리
    • 레지스트리 구성 업데이트
      • 레지스트리의 시스템 할당 관리 ID를 구성합니다. 참고: 레지스트리의 사용자 할당 관리 ID를 관리하려면 별도의 Managed Identity Operator 역할이 필요합니다.
      • 네트워크 액세스 설정 구성(공용 네트워크 액세스, 신뢰할 수 있는 서비스 바이패스, 네트워크 방화벽 규칙, 전용 데이터 엔드포인트 및 VNET(Virtual Network) 서비스 엔드포인트)
      • 프라이빗 엔드포인트 설정 구성(프라이빗 엔드포인트 연결 및 프라이빗 링크 리소스 설정, 승인, 거부 및 나열)
      • 인증 액세스 설정 구성(관리자 사용자 로그인 자격 증명, 익명 풀 요청, Microsoft 이외의 Entra 토큰 기반 저장소 권한 설정 및 Microsoft Entra 인증을 ARM 토큰으로 사용하는 대상)
      • 레지스트리 정책 구성( 보존 정책 구성, 격리 사용, 일시 삭제 사용 및데이터 반출 내보내기 정책)
    • 레지스트리 진단 및 모니터링 설정 구성(진단 설정, 로그, 메트릭, 레지스트리 및 지역에서 복제에 대한 웹후크 및 Event Grid)
    • 레지스트리 사용량 보기(스토리지 사용량)
  • 데이터 평면 사용 권한:
    • 레지스트리의 리포지토리 내에서 이미지 및 아티팩트 푸시 및 끌어오기
    • OCI 참조자 아티팩트 만들기, 보기, 나열 및 삭제
    • 이미지 및 아티팩트 메타데이터 관리(태그 만들기, 읽기, 나열하기, 재태그하기 및 태그 제거하기)
    • 레지스트리에서 리포지토리(이미지 이름) 보기 및 나열
    • 리포지토리 및 이미지에 대한 아티팩트 스트리밍 구성(예: 자동 아티팩트 스트리밍 변환을 위한 리포지토리 정책 설정 및 특정 이미지에 대한 아티팩트 스트리밍 변환 사용/사용 안 함)
    • 격리된 아티팩트 관리(격리된 아티팩트 나열 및 읽기, 아티팩트 격리 상태 수정)
    • 일시 삭제된 아티팩트 관리(일시 삭제된 아티팩트 나열 및 복원)
    • 리포지토리 및 이미지에 대한 정책 구성( 리포지토리, 이미지, 다이제스트 및 태그 잠금 포함)
    • DOCKER DCT(Content Trust)를 사용하여 컨테이너 이미지 서명

기여자

• 사용 사례: 레지스트리를 관리해야 하지만 역할 할당 권한이 필요하지 않은 ID에 할당합니다.
• 사용 권한: 역할 할당 권한을 제외한 모든 레지스트리 컨트롤 플레인 작업 및 모든 데이터 평면 작업에 대한 모든 액세스 권한입니다.
  • 컨트롤 플레인 권한:
    • 레지스트리에 대한 역할 할당을 관리하거나 수행하는 경우를 제외하고 소유자 와 동일합니다. 레지스트리에 대한 역할 할당을 보고 나열하는 권한만 부여됩니다.
    • 참고: 레지스트리 Role Based Access Control Administrator 에 대한 역할 할당을 관리하거나 수행하려면 역할이 필요합니다. 역할 할당을 관리할 때 Owner 대신 사용할 덜 권한 있는 역할이 권장됩니다.
  • 데이터 평면 사용 권한:
    • 소유자와 같은 권한으로 전체 데이터 평면 액세스.

판독기

• 사용 사례: 레지스트리 및 레지스트리 구성만 보고 나열해야 하는 ID에 할당합니다.
• 사용 권한: 소유자 및 참가자와 동일한 표시 유형을 부여하지만 읽기 전용 작업으로 제한됩니다. 레지스트리에 대한 만들기, 업데이트 또는 삭제 작업을 허용하지 않습니다.
  • 컨트롤 플레인 권한:
    • 레지스트리 보기 및 나열( 레지스트리 SKU 및 가용성 영역 및 영역 중복성 포함)
    • 레지스트리에 대한 역할 할당 보기 및 나열(관리되지 않음)
    • 지역 복제 보기 및 나열
    • 연결된 레지스트리 보기 및 나열
    • ACR 작업 보기 및 나열, 작업 실행, 작업 에이전트 풀, 작업 로그 및 작업 식별자
    • 아티팩트 캐시 규칙 및 자격 증명 집합 보기 및 나열
    • 네트워크, 테넌트 또는 에어 갭 경계 전반에 걸쳐 중간 스토리지 계정을 사용하여 레지스트리 간에 아티팩트를 전송하는 ACR 전송 파이프라인(가져오기 파이프라인, 내보내기 파이프라인 및 가져오기/내보내기 파이프라인 실행)을 보고 나열하기
    • 레지스트리 구성 보기
      • 레지스트리의 시스템 할당 관리 ID와 사용자 할당 관리 ID를 모두 보고 나열합니다.
      • 네트워크 액세스 설정 보기 및 나열(공용 네트워크 액세스, 신뢰할 수 있는 서비스 바이패스, 네트워크 방화벽 규칙, 전용 데이터 엔드포인트 및 VNET(Virtual Network) 서비스 엔드포인트)
      • 프라이빗 엔드포인트 설정 보기 및 나열(프라이빗 엔드포인트 연결 및 프라이빗 링크 리소스 설정, 승인, 거부 및 나열)
      • 인증 액세스 설정 보기 및 나열(관리자 사용자 로그인 자격 증명, 익명 끌어오기, 비 Microsoft Entra 토큰 기반 리포지토리 권한 및 Microsoft Entra 인증을 위한 ARM 토큰 대상 그룹)
      • 레지스트리 정책 보기 및 나열( 보존 정책 구성, 격리 사용, 일시 삭제 사용 및데이터 반출 내보내기 정책)
    • 레지스트리 진단 및 모니터링 설정 보기 및 나열(진단 설정, 로그, 메트릭, 레지스트리 및 지역 복제에 대한 웹후크, Event Grid)
    • 레지스트리 사용량 보기(스토리지 사용량)
  • 데이터 평면 사용 권한:
    • 레지스트리의 리포지토리 내에서 이미지 및 아티팩트 끌어오기
    • OCI 참조자 아티팩트 보기 및 나열
    • 태그와 같은 이미지 및 아티팩트 메타데이터 보기 및 나열
    • 레지스트리에서 리포지토리(이미지 이름) 보기 및 나열
    • 리포지토리 및 이미지에 대한 아티팩트 스트리밍 구성 보기(예: 자동 아티팩트 스트리밍 변환을 위한 리포지토리 정책 보기 및 이미지에 대한 아티팩트 스트리밍 구성 보기)
    • 격리된 아티팩트 보기 및 나열(관리되지 않음)
    • 일시 삭제된 아티팩트 보기 및 나열 (관리하지 않음)
    • 리포지토리 및 이미지에 대한 정책 보기( 리포지토리, 이미지, 다이제스트 및 태그 잠금 포함)