Share via

Menonaktifkan autentikasi sebagai templat ARM

  • Artikel

Token Azure AD digunakan saat pengguna registri mengautentikasi dengan ACR. Secara default, Azure Container Registry (ACR) menerima Token Azure AD dengan cakupan audiens yang ditetapkan untuk Azure Resource Manager (ARM), lapisan manajemen sarana kontrol untuk mengelola sumber daya Azure.

Dengan menonaktifkan Token Audiens ARM dan memberlakukan Token Audiens ACR, Anda dapat meningkatkan keamanan registri kontainer Anda selama proses autentikasi dengan mempersempit cakupan token yang diterima.

Dengan penegakan Token Audiens ACR, hanya Token Microsoft Azure ACTIVE Directory dengan cakupan audiens yang khusus ditetapkan untuk ACR yang akan diterima selama autentikasi registri dan proses masuk. Ini berarti bahwa Token Audiens ARM yang diterima sebelumnya tidak akan lagi valid untuk autentikasi registri, sehingga meningkatkan keamanan registri kontainer Anda.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Nonaktifkan autentikasi sebagai lengan di ACR - Azure CLI.
  • Nonaktifkan autentikasi sebagai lengan di ACR - portal Azure.

Prasyarat

Menonaktifkan autentikasi sebagai lengan di ACR - Azure CLI

Menonaktifkan akan memaksa registri azureADAuthenticationAsArmPolicy untuk menggunakan token audiens ACR. Anda dapat menggunakan Azure CLI versi 2.40.0 atau yang lebih baru, jalankan az --version untuk menemukan versi.

  1. Jalankan perintah untuk menampilkan konfigurasi kebijakan registri saat ini untuk autentikasi menggunakan token ARM dengan registri. Jika statusnya adalah enabled, maka token audiens ACL dan ARM dapat digunakan untuk autentikasi. Jika statusnya adalah disabled itu berarti hanya token audiens ACR yang dapat digunakan untuk autentikasi.

    az acr config authentication-as-arm show -r <registry>

  2. Jalankan perintah untuk memperbarui status kebijakan registri.

    az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]

Menonaktifkan autentikasi sebagai lengan di ACR - portal Azure

Menonaktifkan properti dengan menetapkan kebijakan bawaan akan secara otomatis menonaktifkan properti registri authentication-as-arm untuk registri saat ini dan yang akan datang. Perilaku otomatis ini untuk registri yang dibuat dalam cakupan kebijakan. Cakupan kebijakan yang mungkin mencakup cakupan tingkat Grup Sumber Daya atau cakupan tingkat ID Langganan dalam penyewa.

Anda dapat menonaktifkan autentikasi sebagai lengan di ACR, dengan mengikuti langkah-langkah di bawah ini:

  1. Masuk ke portal Azure.

  2. Lihat definisi kebijakan bawaan ACR dalam definisi azure-container-registry-built-in-policy.

  3. Tetapkan kebijakan bawaan untuk menonaktifkan definisi autentikasi sebagai lengan - portal Azure.

Tetapkan definisi kebijakan bawaan untuk menonaktifkan autentikasi token audiens ARM - portal Azure.

Anda dapat mengaktifkan kebijakan Akses Bersyar registri di portal Azure.

Azure Container Registry memiliki dua definisi kebijakan bawaan untuk menonaktifkan autentikasi sebagai lengan, seperti di bawah ini:

  • Container registries should have ARM audience token authentication disabled. - Kebijakan ini akan melaporkan, memblokir sumber daya yang tidak patuh, dan juga mengirim permintaan untuk memperbarui yang tidak patuh untuk mematuhinya.

  • Configure container registries to disable ARM audience token authentication. - Kebijakan ini menawarkan remediasi dan pembaruan yang tidak sesuai dengan sumber daya yang sesuai.

    1. Masuk ke portal Azure.

    2. Navigasikan ke Grup> Sumber Daya Azure Container Registry>Anda Pengaturan> Policies .

      Screenshot showing how to navigate Azure policies.

    3. Navigasi ke Azure Policy, Pada Penugasan, pilih Tetapkan kebijakan.

      Screenshot showing how to assign a policy.

    4. Di bawah Tetapkan kebijakan , gunakan filter untuk mencari dan menemukan Cakupan, Definisi kebijakan, Nama penugasan.

      Screenshot of the assign policy tab.

    5. Pilih Cakupan untuk memfilter dan mencari Langganan dan ResourceGroup dan pilih Pilih.

      Screenshot of the Scope tab.

    6. Pilih Definisi kebijakan untuk memfilter dan mencari definisi kebijakan bawaan untuk kebijakan Akses Bersyar.

      Screenshot of built-in-policy-definitions.

    7. Gunakan filter untuk memilih dan mengonfirmasi Cakupan, Definisi kebijakan, dan Nama penugasan.

    8. Gunakan filter untuk membatasi status kepatuhan atau untuk mencari kebijakan.

    9. Konfirmasikan pengaturan Anda dan tetapkan penegakan kebijakan sebagai diaktifkan.

    10. Pilih Tinjau+Buat.

      Screenshot to activate a Conditional Access policy.

Langkah berikutnya

Membuat dan mengonfigurasi kebijakan Akses Bersyar