Azure Container Registry 사용자 지정 역할

2025-05-06

ACR(Azure Container Registry)은 레지스트리에 대한 액세스를 관리하는 Azure RBAC(역할 기반 액세스 제어) 를 지원합니다. 요구 사항에 맞는 Azure Container Registry 기본 제공 역할이 없는 경우 시나리오에 맞게 세분화된 권한을 사용하여 사용자 지정 역할을 만들 수 있습니다. 이 문서에서는 Azure Container Registry에 대한 사용자 지정 역할을 정의, 만들기 및 할당하는 단계를 설명합니다.

사용자 지정 역할 권한

권한 집합(작업 및 데이터 작업)은 사용자 지정 역할을 정의합니다. 사용자 지정 역할에 정의된 권한은 사용자가 레지스트리 리소스에서 수행할 수 있는 작업을 결정합니다.

사용자 지정 역할에 정의해야 하는 권한(작업 및 데이터 작업)을 확인하려면 다음을 수행할 수 있습니다.

ACR 기본 제공 역할에 사용되는 일반적으로 사용되는 권한(작업 및 데이터 작업)을 포함하는 컨테이너에 대한 Azure 기본 제공 역할 디렉터리의 JSON 정의를 검토합니다.
리소스 공급자 권한의 Microsoft.ContainerRegistry 전체 목록 검토(작업 및 데이터 작업의 Azure Container Registry 참조)

리소스 공급자에 대해 사용 가능한 모든 권한(작업 및 데이터 작업) Microsoft.ContainerRegistry 을 프로그래밍 방식으로 나열하려면 다음 Azure CLI 또는 Azure PowerShell 명령을 사용할 수 있습니다.

az provider operation show --namespace Microsoft.ContainerRegistry

Get-AzProviderOperation -OperationSearchString Microsoft.ContainerRegistry/*

예: 웹후크를 관리하는 사용자 지정 역할

예를 들어 다음 JSON은 ACR 웹후크 관리를 허용하는 사용자 지정 역할에 대한 최소 권한(작업 및 데이터 작업)을 정의합니다.

{
   "assignableScopes": [
     "/subscriptions/<optional, but you can limit the visibility to one or more subscriptions>"
   ],
   "description": "Manage Azure Container Registry webhooks.",
   "Name": "Container Registry Webhook Contributor",
   "permissions": [
     {
       "actions": [
         "Microsoft.ContainerRegistry/registries/webhooks/read",
         "Microsoft.ContainerRegistry/registries/webhooks/write",
         "Microsoft.ContainerRegistry/registries/webhooks/delete"
       ],
       "dataActions": [],
       "notActions": [],
       "notDataActions": []
     }
   ],
   "roleType": "CustomRole"
 }

사용자 지정 역할 만들기 또는 업데이트

JSON 정의를 사용하여 사용자 지정 역할을 정의하려면 사용자 지정 역할을 만드는 단계를 참조하세요. Azure CLI, Azure Resource Manager 템플릿 또는 Azure PowerShell을 사용하여 사용자 지정 역할을 만들 수 있습니다.

비고

Azure Resource Manager 프라이빗 링크로 구성된 테넌트에서 Azure Container Registry는 사용자 지정 역할과 같은 Microsoft.ContainerRegistry/*/readMicrosoft.ContainerRegistry/registries/*/write 와일드카드 작업을 지원하여 일치하는 모든 작업에 대한 액세스 권한을 부여합니다. ARM 프라이빗 링크가 없는 테넌트에서는 와일드카드를 사용하지 말고 사용자 지정 역할에서 필요한 모든 레지스트리 작업을 개별적으로 지정합니다.

사용자 지정 역할 할당

기본 제공 역할에 대한 역할 할당을 관리하는 것과 동일한 방식으로 사용자 지정 역할에 대한 역할 할당을 추가하거나 제거합니다. Azure Portal, Azure CLI, Azure PowerShell 또는 기타 Azure 도구를 사용하여 Azure ID에 Azure 역할을 할당하는 방법에 대해 자세히 알아봅니다.

다음 단계

지원되는 역할 할당 ID 유형, 역할 할당을 수행하는 단계 및 일반적인 시나리오에 권장되는 역할을 포함하여 이러한 기본 제공 역할에 대한 개략적인 개요는 Azure Container Registry RBAC 기본 제공 역할을 참조하세요.
선택적 Microsoft Entra ABAC 조건으로 역할 할당을 수행하여 특정 리포지토리로 역할 할당 범위를 지정하려면 Microsoft Entra 기반 리포지토리 권한을 참조하세요.
각 역할에서 부여한 권한을 포함하여 모든 ACR 기본 제공 역할에 대한 자세한 참조는 Azure Container Registry 역할 디렉터리 참조를 참조하세요.