Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Com o Registro de Contêiner do Azure, você pode permitir que serviços confiáveis selecionados do Azure acessem um Registro configurado com regras de acesso à rede. Quando você permite serviços confiáveis, uma instância de serviço confiável pode ignorar com segurança as regras de rede do Registro e executar operações como extrair ou enviar imagens. Este artigo explica como habilitar e usar serviços confiáveis com um registro de contêiner do Azure restrito à rede.
Use o Azure Cloud Shell ou uma instalação local da CLI do Azure para executar os exemplos de comando neste artigo. Use a versão 2.18 ou posterior para executá-lo localmente. Executar az --version para localizar a versão. Se precisar de instalar ou atualizar, veja Install Azure CLI (Instalar o Azure CLI).
Limitações
- Determinados cenários de acesso ao Registro com serviços confiáveis exigem uma identidade gerenciada para recursos do Azure. Exceto quando observado que uma identidade gerenciada atribuída pelo usuário é suportada, apenas uma identidade atribuída pelo sistema pode ser usada.
- Permitir serviços confiáveis não se aplica a um registro de contêiner configurado com um ponto de extremidade de serviço. O recurso afeta apenas registros restritos com um ponto de extremidade privado ou que têm regras de acesso IP públicas aplicadas.
Sobre serviços confiáveis
O Registo de Contentores do Azure tem um modelo de segurança em camadas que suporta várias configurações de rede para restringir o acesso a um registo. Essas configurações incluem:
- Ponto de extremidade privado com o Azure Private Link. Quando configurado, o ponto de extremidade privado de um registro é acessível apenas a recursos dentro da rede virtual, usando endereços IP privados.
- Regras de firewall do Registro, que permitem o acesso ao ponto de extremidade público do Registro somente a partir de endereços IP públicos específicos ou intervalos de endereços. Você também pode configurar o firewall para bloquear todo o acesso ao ponto de extremidade público ao usar pontos de extremidade privados.
Quando você implanta um registro em uma rede virtual ou o configura com regras de firewall, ele nega acesso a usuários ou serviços de fora dessas fontes.
Vários serviços multilocatários do Azure operam a partir de redes que não é possível incluir nessas configurações de rede do Registro. Como resultado, esses serviços não podem executar operações como puxar ou enviar imagens para o registro. Ao designar determinadas instâncias de serviço como "confiáveis", um proprietário do Registro pode permitir que recursos selecionados do Azure ignorem com segurança as configurações de rede do Registro para executar operações do Registro.
Serviços confiáveis
As instâncias dos seguintes serviços podem acessar um registro de contêiner restrito à rede se a configuração permitir serviços confiáveis do Registro estiver habilitada (o padrão). Mais serviços serão adicionados ao longo do tempo.
Quando indicado, o acesso pelo serviço confiável requer configuração adicional de uma identidade gerenciada em uma instância de serviço, atribuição de uma função RBAC e autenticação com o registro. Para obter etapas de exemplo, consulte Fluxo de trabalho de serviços confiáveis, mais adiante neste artigo.
| Serviço de confiança | Cenários de utilização suportados | Configurar identidade gerenciada com a função RBAC |
|---|---|---|
| Azure Container Instances (Instâncias de Contentores do Azure) | Implantar em Instâncias de Contêiner do Azure a partir do Registro de Contêiner do Azure usando uma identidade gerenciada | Sim, identidade atribuída pelo sistema ou pelo usuário |
| Microsoft Defender para a Cloud | Verificação de vulnerabilidades pelo Microsoft Defender para registros de contêiner | Não |
| Aprendizagem Automática | Implantar ou treinar um modelo em um espaço de trabalho do Machine Learning usando uma imagem de contêiner personalizada do Docker | Sim |
| Registo de Contentores do Azure | Importar imagens de ou para um registro de contêiner do Azure restrito à rede | Não |
Nota
Atualmente, ativar a allow trusted services configuração não se aplica ao Serviço de Aplicações.
Permitir serviços confiáveis - CLI
Por padrão, a configuração permitir serviços confiáveis é habilitada em um novo registro de contêiner do Azure. Desative ou habilite a configuração executando o comando az acr update .
Para desativar:
az acr update --name myregistry --allow-trusted-services false
Para habilitar a configuração em um registro existente ou em um registro onde ele já está desabilitado:
az acr update --name myregistry --allow-trusted-services true
Permitir serviços confiáveis - portal
Por padrão, a configuração permitir serviços confiáveis é habilitada em um novo registro de contêiner do Azure.
Para desativar ou reativar a configuração no portal:
- No portal, navegue até o registro do contêiner.
- Em Definições, selecione Redes.
- Em Permitir acesso à rede pública, selecione Redes selecionadas ou Desabilitadas.
- Execute um dos seguintes passos:
- Para desativar o acesso por serviços confiáveis, em Exceção de firewall, desmarque Permitir que serviços confiáveis da Microsoft acessem este registro de contêiner.
- Para permitir serviços confiáveis, em Exceção de firewall, marque Permitir que serviços confiáveis da Microsoft acessem este registro de contêiner.
- Selecione Guardar.
Fluxo de trabalho de serviços confiáveis
Aqui está um fluxo de trabalho típico para permitir que uma instância de um serviço confiável acesse um registro de contêiner restrito à rede. Esse fluxo de trabalho é necessário quando você usa a identidade gerenciada de uma instância de serviço para ignorar as regras de rede do Registro.
- Habilite uma identidade gerenciada em uma instância de um dos serviços confiáveis para o Registro de Contêiner do Azure.
- Atribua a identidade de uma função do Azure ao seu Registro. Por exemplo, atribua (
Container Registry Repository Readerpara registros habilitados para ABAC) ouAcrPull(para registros não ABAC). - Configure a configuração no registro restrito à rede para permitir o acesso por serviços confiáveis.
- Use as credenciais da identidade para autenticar com o registro restrito à rede.
- Extraia imagens do registro ou execute outras operações permitidas pela função.
Próximos passos
- Para restringir o acesso a um registro usando um ponto de extremidade privado em uma rede virtual, consulte Configurar o Azure Private Link para um registro de contêiner do Azure.
- Para configurar regras de firewall do Registro, consulte Configurar regras de rede IP pública.