Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Os Tokens do Azure AD são usados quando os usuários do Registro se autenticam com o ACR. Por padrão, o Azure Container Registry (ACR) aceita tokens do Azure AD com um escopo de audiência definido para o Azure Resource Manager (ARM), uma camada de gestão do plano de controlo para gerir recursos do Azure.
Ao desativar os Tokens de Audiência ARM e aplicar os Tokens de Audiência ACR, você pode melhorar a segurança de seus registros de contêiner durante o processo de autenticação, restringindo o escopo dos tokens aceitos.
Com a imposição do Token de Audiência do ACR, somente os Tokens do Azure AD com um escopo de audiência especificamente definido para ACR serão aceitos durante o processo de autenticação e entrada do Registro. Isso significa que os ARM Audience Tokens aceitos anteriormente não serão mais válidos para autenticação de registro, aumentando assim a segurança de seus registros de contêiner.
Neste tutorial, irá aprender a:
- Desative a autenticação como ARM no ACR - Azure CLI.
- Desativar a autenticação como função no ACR - Portal do Azure.
Pré-requisitos
-
Instale ou atualize a CLI do Azure versão 2.40.0 ou posterior. Para localizar a versão, execute
az --version. - Inicie sessão no portal do Azure.
Desabilitar a autenticação como braço no ACR - Azure CLI
A desativação do azureADAuthenticationAsArmPolicy forçará o registo a usar o token de audiência do ACR. Você pode usar a CLI do Azure versão 2.40.0 ou posterior, executar az --version para localizar a versão.
Execute o comando para mostrar a configuração atual da política do registo para autenticação usando tokens ARM com o registo. Se o estado for
enabled, ACRs e tokens de público ARM podem ser usados para autenticação. Se o status fordisabled, isso significa que apenas os tokens de audiência do ACR podem ser usados para autenticação.az acr config authentication-as-arm show -r <registry>Execute o comando para atualizar o status da diretiva do Registro.
az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]
Desabilitar a autenticação como braço no ACR - portal do Azure
A desativação da authentication-as-arm propriedade ao atribuir uma política integrada desativará automaticamente a propriedade do registo para os registos atuais e futuros. Esse comportamento automático é para registros criados dentro do escopo da política. Os escopos de política possíveis incluem o escopo de nível de Grupo de Recursos ou o escopo de nível de ID de Assinatura dentro do locatário.
Você pode desativar a autenticação como ARM no ACR, seguindo as etapas abaixo:
Inicie sessão no portal do Azure.
Consulte as definições de política internas do ACR na definição azure-container-registry-built-in-policy.
Atribua uma política interna para desabilitar a definição de autenticação como braço - portal do Azure.
Atribua uma definição de política incorporada para desativar a autenticação de token de audiência ARM - Portal do Azure.
Você pode habilitar a política de Acesso Condicional do Registro no portal do Azure.
O Registro de Contêiner do Azure tem duas definições de política internas para desabilitar a autenticação como braço, conforme abaixo:
Container registries should have ARM audience token authentication disabled.- Esta política irá relatar e bloquear quaisquer recursos não conformes e também envia uma solicitação para atualizar recursos não conformes para conformes.Configure container registries to disable ARM audience token authentication.- Esta política oferece correção e atualiza recursos não compatíveis para que se tornem compatíveis.Inicie sessão no portal do Azure.
Navegue até o seu Registro de Contêiner do Azure>Grupo de Recursos>Configurações>Políticas.
Navegue até Política do Azure, Em Atribuições, selecione Atribuir política.
No Atribuir política, use filtros para pesquisar e encontrar o Escopo, a Definição de política, Nome da atribuição.
Selecione Escopo para filtrar e pesquisar a Assinatura e o Grupo de Recursos e depois escolha Selecionar.
Selecione Definição de política para filtrar e pesquisar as definições de política internas para a política de Acesso Condicional.
Use filtros para selecionar e confirmar Escopo, Definição de política e Nome da atribuição.
Use os filtros para limitar os estados de conformidade ou para pesquisar políticas.
Confirme suas configurações e defina a aplicação da política como habilitada.
Selecione Revisão+Criar.
