Összetevők exportálásának letiltása azure-beli tárolóregisztrációs adatbázisból
Ha meg szeretné akadályozni, hogy a szervezet beállításjegyzék-felhasználói rosszindulatúan vagy véletlenül kiszivárogtatják az összetevőket egy virtuális hálózaton kívül, konfigurálhatja a beállításjegyzék exportálási szabályzatát az exportálás letiltására.
Az exportálási szabályzat az API 2021-06-01-preview verziójában bevezetett tulajdonság prémium szintű tárolóregisztrációs adatbázisokhoz. A exportPolicy
tulajdonság, ha az állapota értékre disabled
van állítva, letiltja az összetevők exportálását egy hálózat által korlátozott beállításjegyzékből, amikor egy felhasználó megpróbálja:
- A beállításjegyzék összetevőinek importálása egy másik Azure-tárolóregisztrációs adatbázisba
- Adatbázis-exportálási folyamat létrehozása összetevők másik tárolóregisztrációs adatbázisba való átviteléhez
Megjegyzés
Az összetevők exportálásának letiltása nem akadályozza meg a jogosult felhasználók hozzáférését a virtuális hálózaton belüli beállításjegyzékhez az összetevők lekéréséhez vagy más adatsíkműveletek végrehajtásához. A használat naplózásához javasoljuk, hogy konfigurálja a diagnosztikai beállításokat a beállításjegyzék műveleteinek figyeléséhez .
Előfeltételek
- Privát végponttal konfigurált prémium tárolóregisztrációs adatbázis.
Használja a Bash-környezetet az Azure Cloud Shell. További információ: Rövid útmutató a Bashhez az Azure Cloud Shell-ban.
Ha inkább helyileg szeretné futtatni a PARANCSSORI referenciaparancsokat, telepítse az Azure CLI-t . Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.
Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd: Bejelentkezés az Azure CLI-vel.
Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.
Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.
Az exportálások letiltására vonatkozó egyéb követelmények
Nyilvános hálózati hozzáférés letiltása – Az összetevők exportálásának letiltásához a beállításjegyzékhez való nyilvános hozzáférést is le kell tiltani (a beállításjegyzék tulajdonságának értékre kell állítania
publicNetworkAccess
).disabled
Az exportálás letiltása vagy egyidejű letiltása előtt letilthatja a beállításjegyzék nyilvános hálózati hozzáférését.A beállításjegyzék nyilvános végponthoz való hozzáférésének letiltásával biztosíthatja, hogy a beállításjegyzék-műveletek csak a virtuális hálózaton belül legyenek engedélyezve. A beállításjegyzékhez való nyilvános hozzáférés az összetevők lekéréséhez és más műveletek végrehajtásához tilos.
Exportálási folyamatok eltávolítása – A beállításjegyzék állapotának
exportPolicy
disabled
beállítása előtt törölje a beállításjegyzékben konfigurált meglévő exportálási folyamatokat. Ha egy folyamat konfigurálva van, nem módosíthatja az állapototexportPolicy
.
Az exportPolicy letiltása meglévő beállításjegyzékben
Beállításjegyzék létrehozásakor az exportPolicy
állapot alapértelmezés szerint értékre enabled
van állítva, ami lehetővé teszi az összetevők exportálását. Az állapotot disabled
ARM-sablonra vagy parancsra az resource update
frissítheti.
ARM-sablon
Adja meg a következő JSON-t az exportPolicy
állapot frissítéséhez, és állítsa a tulajdonságot értékre publicNetworkAccess
disabled
. További információ az erőforrások ARM-sablonokkal történő üzembe helyezéséről.
{
[...]
"resources": [
{
"type": "Microsoft.ContainerRegistry/registries",
"apiVersion": "2021-06-01-preview",
"name": "myregistry",
[...]
"properties": {
"publicNetworkAccess": "disabled",
"policies": {
"exportPolicy": {
"status": "disabled"
}
}
}
}
]
[...]
}
Azure CLI
Futtassa az az resource update parancsot egy meglévő beállításjegyzék disabled
állapotának exportPolicy
beállításához. Helyettesítse be a beállításjegyzék és az erőforráscsoport nevét.
Ahogy az ebben a példában is látható, a exportPolicy
tulajdonság letiltásakor a tulajdonságot is állítsa értékre publicNetworkAccess
disabled
.
az resource update --resource-group myResourceGroup \
--name myregistry \
--resource-type "Microsoft.ContainerRegistry/registries" \
--api-version "2021-06-01-preview" \
--set "properties.policies.exportPolicy.status=disabled" \
--set "properties.publicNetworkAccess=disabled"
A kimenet azt mutatja, hogy az exportálási szabályzat állapota le van tiltva.
{
"id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.ContainerRegistry/registries/myregistry",
"identity": null,
"kind": null,
"location": "centralus",
"managedBy": null,
"name": "myregistry",
"plan": null,
"properties": {
[...]
"policies": {
"exportPolicy": {
"status": "disabled"
},
"quarantinePolicy": {
"status": "disabled"
},
"retentionPolicy": {
"days": 7,
"lastUpdatedTime": "2021-07-20T23:20:30.9985256+00:00",
"status": "disabled"
},
"trustPolicy": {
"status": "disabled",
"type": "Notary"
},
"privateEndpointConnections": [],
"provisioningState": "Succeeded",
"publicNetworkAccess": "Disabled",
"zoneRedundancy": "Disabled"
[...]
}
ExportPolicy engedélyezése
Miután letiltja az exportPolicy
állapotot egy beállításjegyzékben, bármikor újra engedélyezheti azt egy ARM-sablon vagy a az resource update
parancs használatával.
ARM-sablon
Az állapot enabled
frissítéséhez adja meg a exportPolicy
következő JSON-t: . További információ az erőforrások ARM-sablonokkal történő üzembe helyezéséről
{
[...]
"resources": [
{
"type": "Microsoft.ContainerRegistry/registries",
"apiVersion": "2021-06-01-preview",
"name": "myregistry",
[...]
"properties": {
"policies": {
"exportPolicy": {
"status": "enabled"
}
}
}
}
]
[...]
}
Azure CLI
Futtassa az az resource update parancsot az exportPolicy
állapot enabled
beállításához. Helyettesítse be a beállításjegyzék és az erőforráscsoport nevét.
az resource update --resource-group myResourceGroup \
--name myregistry \
--resource-type "Microsoft.ContainerRegistry/registries" \
--api-version "2021-06-01-preview" \
--set "properties.policies.exportPolicy.status=enabled"
Következő lépések
- Tudnivalók Azure Container Registry szerepkörökről és engedélyekről.
- Ha meg szeretné akadályozni a beállításjegyzék-összetevők véletlen törlését, olvassa el a Tárolórendszerképek zárolása című témakört.
- Az Azure Container Registry biztonságossá tételéhez beépített Azure-szabályzatok ismertetése