A megbízható szolgáltatások biztonságos hozzáférésének engedélyezése a hálózatra korlátozott tároló-beállításjegyzékhez

Azure Container Registry engedélyezheti, hogy a megbízható Azure-szolgáltatások hozzáférjenek a hálózati hozzáférési szabályokkal konfigurált beállításjegyzékhez. Ha a megbízható szolgáltatások engedélyezettek, a megbízható szolgáltatáspéldányok biztonságosan megkerülhetik a beállításjegyzék hálózati szabályait, és olyan műveleteket hajthatnak végre, mint a leküldéses vagy leküldéses lemezképek. Ez a cikk bemutatja, hogyan engedélyezheti és használhatja a megbízható szolgáltatásokat egy hálózatra korlátozott Azure Container Registryvel.

A Azure Cloud Shell az Azure CLI helyi telepítésével futtathat példaparancsokat. Ha helyileg szeretné használni, a 2.18-as vagy újabb verzió szükséges. A verzió azonosításához futtassa a következőt: az --version. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.

Korlátozások

  • Bizonyos megbízható szolgáltatásokkal kapcsolatos beállításjegyzék-hozzáférési forgatókönyvekhez felügyelt identitás szükséges az Azure-erőforrásokhoz. Kivéve, ha a felhasználó által hozzárendelt felügyelt identitás támogatott, csak rendszer által hozzárendelt identitás használható.
  • A megbízható szolgáltatások engedélyezésének nem kell vonatkoznia a szolgáltatásvégponttal konfigurált tároló-beállításjegyzékre. A funkció csak olyan regisztrációs adatbázisokat érint, amelyek privát végponttal vannak korlátozva, vagy amelyekre nyilvános IP-hozzáférési szabályok vannak alkalmazva.

Megbízható szolgáltatások

Azure Container Registry réteges biztonsági modellel rendelkezik, amely több hálózati konfigurációt támogat, amelyek korlátozzák a beállításjegyzékhez való hozzáférést, beleértve a következőket:

  • Privát végpont Azure Private Link. Konfigurálás esetén a beállításjegyzék privát végpontja csak a virtuális hálózaton belüli erőforrások számára érhető el magánhálózati IP-címekkel.
  • A beállításjegyzék tűzfalszabályai, amelyek csak bizonyos nyilvános IP-címekről vagy címtartományokról engedélyezik a hozzáférést a beállításjegyzék nyilvános végpontjaihoz. A tűzfalat konfigurálhatja úgy is, hogy privát végpontok használata esetén letiltsa a nyilvános végponthoz való hozzáférést.

Ha virtuális hálózatban van üzembe állítva vagy tűzfalszabályokkal van konfigurálva, a beállításjegyzék megtagadja a hozzáférést a forrásokon kívüli felhasználóktól vagy szolgáltatásoktól.

Számos több-bérlős Azure-szolgáltatás olyan hálózatokból működik, amelyek nem szerepelnek ezekben a beállításjegyzékbeli hálózati beállításokban, és megakadályozzák, hogy olyan műveleteket hajtsanak végre, mint a rendszerképek leküldése vagy leküldése a beállításjegyzékbe. Bizonyos szolgáltatáspéldányok "megbízhatóként" való megtervezésével a beállításjegyzék tulajdonosa engedélyezheti, hogy egyes Azure-erőforrások biztonságosan megkerüljék a beállításjegyzék hálózati beállításait a beállításjegyzékbeli műveletek végrehajtásához.

Megbízható szolgáltatások

Az alábbi szolgáltatások példányai hozzáférhetnek egy hálózatra korlátozott tárolójegyzékhez, ha a beállításjegyzék megbízható szolgáltatások engedélyezése beállítás engedélyezve van (ez az alapértelmezett beállítás). Idővel további szolgáltatások lesznek hozzáadva.

Ahol jelezve van, a megbízható szolgáltatás által való hozzáféréshez a felügyelt identitás további konfigurációja szükséges egy szolgáltatáspéldányban, RBAC-szerepkör hozzárendelése és hitelesítés a beállításjegyzékben. A lépésekről lásd a cikk későbbi, Megbízható szolgáltatások munkafolyamata szakaszát.

Megbízható szolgáltatás Támogatott használati forgatókönyvek Felügyelt identitás konfigurálása RBAC-szerepkörsel
Azure Container Instances Üzembe helyezés Azure Container Instances Azure Container Registry felügyelt identitással Igen, vagy rendszer által hozzárendelt vagy felhasználó által hozzárendelt identitás
Microsoft Defender for Cloud Biztonsági rések vizsgálata a Microsoft Defender által tárolóregisztrálók keresésével No
ACR-feladatok Hozzáférés a szülő-beállításjegyzékhez vagy az ACR-feladattól eltérő beállításjegyzékhez Yes
Machine Learning Modell üzembe helyezése vagy betanítása egy Machine Learning munkaterületen egyéni Docker-tároló rendszerképének használatával Yes
Azure Container Registry Rendszerképek importálása egy hálózat által korlátozott Azure Container Registrybe vagy onnan másba No

Megjegyzés

A Megbízható szolgáltatások engedélyezése beállítás engedélyezése nem vonatkozik a App Service.

Megbízható szolgáltatások engedélyezése – CLI

Alapértelmezés szerint a megbízható szolgáltatások engedélyezése beállítás engedélyezve van egy új Azure-beli tároló-beállításjegyzékben. Tiltsa le vagy engedélyezze a beállítást az az acr update parancs futtatásával .

A letiltásához:

az acr update --name myregistry --allow-trusted-services false

A beállítás meglévő beállításjegyzékben vagy olyan beállításjegyzékben való engedélyezéséhez, ahol az már le van tiltva:

az acr update --name myregistry --allow-trusted-services true

Megbízható szolgáltatások engedélyezése – portál

Alapértelmezés szerint a megbízható szolgáltatások engedélyezése beállítás engedélyezve van egy új Azure-beli tároló-beállításjegyzékben.

A beállítás letiltása vagy újra engedélyezése a portálon:

  1. A portálon keresse meg a tároló-beállításjegyzéket.
  2. A Gépház válassza a Hálózat lehetőséget.
  3. A Nyilvános hálózati hozzáférés engedélyezése beállításnál válassza a Kijelölt hálózatok vagy a Letiltva lehetőséget.
  4. Tegye a következők egyikét:
    • A megbízható szolgáltatások hozzáférésének letiltásához a Tűzfal kivétele alatt törölje a Megbízható Microsoft-szolgáltatások hozzáférésének engedélyezése a tároló-beállításjegyzékhez jelölőnégyzetet.
    • A megbízható szolgáltatások engedélyezése érdekében a Tűzfal kivétele alatt jelölje be a Megbízható Microsoft-szolgáltatások hozzáférésének engedélyezése a tároló-beállításjegyzékhez jelölőnégyzetet.
  5. Válassza a Mentés lehetőséget.

Megbízható szolgáltatások munkafolyamata

Az alábbi általános munkafolyamat lehetővé teszi, hogy egy megbízható szolgáltatás egy példánya hozzáférjen egy hálózatra korlátozott tárolójegyzékhez. Erre a munkafolyamatra akkor van szükség, ha egy szolgáltatáspéldány felügyelt identitásával megkerülik a regisztrációs adatbázis hálózati szabályait.

  1. Felügyelt identitás engedélyezése a felügyelt szolgáltatások egyik példányán a Azure Container Registry.
  2. Rendeljen egy Azure-szerepkört az identitáshoz a regisztrációs adatbázishoz. Például rendelje hozzá az ACRPull szerepkört a tároló rendszerképének lekért feladathoz.
  3. A hálózati beállításjegyzékben konfigurálja úgy a beállítást, hogy engedélyezze a megbízható szolgáltatások hozzáférését.
  4. Az identitás hitelesítő adataival hitelesítse magát a hálózati beállításjegyzékben.
  5. Rendszerképek lekérte a regisztrációs adatbázisból, vagy a szerepkör által engedélyezett egyéb műveleteket hajthat végre.

Például: ACR-feladatok

Az alábbi példa a ACR-feladatok szolgáltatásként való használatát mutatja be. A feladatok részleteiért lásd: Regisztrációs adatbázisközi hitelesítés egy ACR-feladatban Azure által felügyelt identitás használatával.

  1. Azure Container Registry létrehozása vagy frissítése. Hozzon létre egy ACR-feladatot.
    • Engedélyezzen egy rendszer által hozzárendelt felügyelt identitást a feladat létrehozásakor.
    • Tiltsa le a feladat alapértelmezett hitelesítési módját (--auth-mode None).
  2. Rendeljen hozzá egy Azure-szerepkört a feladatidentitáshoz a regisztrációs adatbázis eléréséhez. Hozzárendelheti például az AcrPush szerepkört, amely rendelkezik a rendszerképek leküldésére és leküldésére vonatkozó engedélyekkel.
  3. Adja hozzá a felügyelt identitás hitelesítő adatait a beállításjegyzékhez a feladathoz.
  4. Annak megerősítéséhez, hogy a feladat megkerüli a hálózati korlátozásokat, tiltsa le a nyilvános hozzáférést a beállításjegyzékben.
  5. Futtassa a feladatot. Ha a beállításjegyzék és a feladat megfelelően van konfigurálva, a feladat sikeresen lefut, mert a beállításjegyzék engedélyezi a hozzáférést.

A megbízható szolgáltatások hozzáférésének letiltásának tesztelése:

  1. Tiltsa le a beállítást, hogy engedélyezze a megbízható szolgáltatások hozzáférését.
  2. Futtassa újra a feladatot. Ebben az esetben a feladat futtatása meghiúsul, mert a beállításjegyzék már nem engedélyezi a hozzáférést a feladat számára.

Következő lépések