Összetevők exportálásának letiltása azure-beli tárolóregisztrációs adatbázisból

Ha meg szeretné akadályozni, hogy a szervezet beállításjegyzék-felhasználói rosszindulatúan vagy véletlenül kiszivárogtatják az összetevőket egy virtuális hálózaton kívül, konfigurálhatja a beállításjegyzék exportálási szabályzatát az exportálás letiltására.

Az exportálási szabályzat az API 2021-06-01-preview verziójában bevezetett tulajdonság prémium szintű tárolóregisztrációs adatbázisokhoz. A exportPolicy tulajdonság, ha az állapota értékre disabledvan állítva, letiltja az összetevők exportálását egy hálózat által korlátozott beállításjegyzékből, amikor egy felhasználó megpróbálja:

• A beállításjegyzék összetevőinek importálása egy másik Azure-tárolóregisztrációs adatbázisba
• Adatbázis-exportálási folyamat létrehozása összetevők másik tárolóregisztrációs adatbázisba való átviteléhez

Megjegyzés

Az összetevők exportálásának letiltása nem akadályozza meg a jogosult felhasználók hozzáférését a virtuális hálózaton belüli beállításjegyzékhez az összetevők lekéréséhez vagy más adatsíkműveletek végrehajtásához. A használat naplózásához javasoljuk, hogy konfigurálja a diagnosztikai beállításokat a beállításjegyzék műveleteinek figyeléséhez .

Előfeltételek

• Privát végponttal konfigurált prémium tárolóregisztrációs adatbázis.

• Használja a Bash-környezetet az Azure Cloud Shell. További információ: Rövid útmutató a Bashhez az Azure Cloud Shell-ban.

  

• Ha inkább helyileg szeretné futtatni a PARANCSSORI referenciaparancsokat, telepítse az Azure CLI-t . Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.

  • Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd: Bejelentkezés az Azure CLI-vel.

  • Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.

  • Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.

Az exportálások letiltására vonatkozó egyéb követelmények

• Nyilvános hálózati hozzáférés letiltása – Az összetevők exportálásának letiltásához a beállításjegyzékhez való nyilvános hozzáférést is le kell tiltani (a beállításjegyzék tulajdonságának értékre kell állítaniapublicNetworkAccess).disabled Az exportálás letiltása vagy egyidejű letiltása előtt letilthatja a beállításjegyzék nyilvános hálózati hozzáférését.

  A beállításjegyzék nyilvános végponthoz való hozzáférésének letiltásával biztosíthatja, hogy a beállításjegyzék-műveletek csak a virtuális hálózaton belül legyenek engedélyezve. A beállításjegyzékhez való nyilvános hozzáférés az összetevők lekéréséhez és más műveletek végrehajtásához tilos.

• Exportálási folyamatok eltávolítása – A beállításjegyzék állapotának exportPolicydisabledbeállítása előtt törölje a beállításjegyzékben konfigurált meglévő exportálási folyamatokat. Ha egy folyamat konfigurálva van, nem módosíthatja az állapotot exportPolicy .

Az exportPolicy letiltása meglévő beállításjegyzékben

Beállításjegyzék létrehozásakor az exportPolicy állapot alapértelmezés szerint értékre enabled van állítva, ami lehetővé teszi az összetevők exportálását. Az állapotot disabled ARM-sablonra vagy parancsra az resource update frissítheti.

ARM-sablon

Adja meg a következő JSON-t az exportPolicy állapot frissítéséhez, és állítsa a tulajdonságot értékre publicNetworkAccessdisabled. További információ az erőforrások ARM-sablonokkal történő üzembe helyezéséről.

{
[...]
"resources": [
    {
    "type": "Microsoft.ContainerRegistry/registries",
    "apiVersion": "2021-06-01-preview",
    "name": "myregistry",
    [...]
    "properties": {
      "publicNetworkAccess": "disabled",
      "policies": {
        "exportPolicy": {
          "status": "disabled"
         }
      }
      }
    }
]
[...]
}

Azure CLI

Futtassa az az resource update parancsot egy meglévő beállításjegyzék disabledállapotának exportPolicy beállításához. Helyettesítse be a beállításjegyzék és az erőforráscsoport nevét.

Ahogy az ebben a példában is látható, a exportPolicy tulajdonság letiltásakor a tulajdonságot is állítsa értékre publicNetworkAccessdisabled.

az resource update --resource-group myResourceGroup \
    --name myregistry \
    --resource-type "Microsoft.ContainerRegistry/registries" \
    --api-version "2021-06-01-preview" \
    --set "properties.policies.exportPolicy.status=disabled" \
    --set "properties.publicNetworkAccess=disabled"  

A kimenet azt mutatja, hogy az exportálási szabályzat állapota le van tiltva.

{
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.ContainerRegistry/registries/myregistry",
  "identity": null,
  "kind": null,
  "location": "centralus",
  "managedBy": null,
  "name": "myregistry",
  "plan": null,
  "properties": {
    [...]
    "policies": {
      "exportPolicy": {
        "status": "disabled"
      },
      "quarantinePolicy": {
        "status": "disabled"
      },
      "retentionPolicy": {
        "days": 7,
        "lastUpdatedTime": "2021-07-20T23:20:30.9985256+00:00",
        "status": "disabled"
      },
      "trustPolicy": {
        "status": "disabled",
        "type": "Notary"
      },
    "privateEndpointConnections": [],
    "provisioningState": "Succeeded",
    "publicNetworkAccess": "Disabled",
    "zoneRedundancy": "Disabled"
[...]
}

ExportPolicy engedélyezése

Miután letiltja az exportPolicy állapotot egy beállításjegyzékben, bármikor újra engedélyezheti azt egy ARM-sablon vagy a az resource update parancs használatával.

ARM-sablon

Az állapot enabledfrissítéséhez adja meg a exportPolicy következő JSON-t: . További információ az erőforrások ARM-sablonokkal történő üzembe helyezéséről

{
[...]
"resources": [
    {
    "type": "Microsoft.ContainerRegistry/registries",
    "apiVersion": "2021-06-01-preview",
    "name": "myregistry",
    [...]
    "properties": {
     "policies": {
        "exportPolicy": {
          "status": "enabled"
         }
      }
      }
    }
]
[...]
}

Azure CLI

Futtassa az az resource update parancsot az exportPolicy állapot enabledbeállításához. Helyettesítse be a beállításjegyzék és az erőforráscsoport nevét.

az resource update --resource-group myResourceGroup \
    --name myregistry \
    --resource-type "Microsoft.ContainerRegistry/registries" \
    --api-version "2021-06-01-preview" \
    --set "properties.policies.exportPolicy.status=enabled"

Következő lépések

• Tudnivalók Azure Container Registry szerepkörökről és engedélyekről.
• Ha meg szeretné akadályozni a beállításjegyzék-összetevők véletlen törlését, olvassa el a Tárolórendszerképek zárolása című témakört.
• Az Azure Container Registry biztonságossá tételéhez beépített Azure-szabályzatok ismertetése