Eseguire l'autenticazione con un Registro Azure Container

Esistono diversi modi per eseguire l'autenticazione con Registro Azure Container, ognuno dei quali è applicabile a uno o più scenari di utilizzo del registro.

I modi consigliati includono:

• Eseguire l'autenticazione direttamente in un registro tramite un account di accesso singolo
• Le applicazioni e gli agenti di orchestrazione dei contenitori possono eseguire l'autenticazione automatica o "headless" usando un'entità servizio Microsoft Entra

Se si usa un registro contenitori con servizio Azure Kubernetes (AKS) o un altro cluster Kubernetes, vedere Scenari per l'autenticazione con Registro Azure Container da Kubernetes.

Opzioni di autenticazione

Nella tabella seguente sono elencati i metodi di autenticazione disponibili e gli scenari tipici. Per informazioni dettagliate, vedere contenuto collegato.

Method	Come eseguire l'autenticazione	Scenari	Controllo degli accessi in base al ruolo di Azure	Limitazioni
Singola identità di Active Directory	az acr login nell'interfaccia della riga di comando di Azure Connect-AzContainerRegistry in Azure PowerShell	Push/pull interattivo da parte di sviluppatori, tester	Sì	Il token di Active Directory deve essere rinnovato ogni 3 ore
Entità servizio di Active Directory	docker login az acr login nell'interfaccia della riga di comando di Azure Connect-AzContainerRegistry in Azure PowerShell Impostazioni di accesso al registro in API o strumenti Segreto pull kubernetes	Push automatico dalla pipeline CI/CD Eseguire il pull automatico in Azure o nei servizi esterni	Sì	La scadenza predefinita della password SP è 1 anno
Identità gestita per le risorse di Azure	docker login  az acr login nell'interfaccia della riga di comando di Azure Connect-AzContainerRegistry in Azure PowerShell	Push automatico dalla pipeline CI/CD di Azure Eseguire il pull automatico nei servizi di Azure	Sì	Usare solo i servizi di Azure selezionati che supportano le identità gestite per le risorse di Azure
Identità gestita del cluster del servizio Azure Kubernetes	Collegare il Registro di sistema quando il cluster del servizio Azure Kubernetes è stato creato o aggiornato	Pull automatico nel cluster del servizio Azure Kubernetes nella stessa sottoscrizione o in una diversa	No, solo accesso pull	Disponibile solo con il cluster del servizio Azure Kubernetes Non è possibile usare per l'autenticazione tra tenant
Entità servizio del cluster del servizio Azure Kubernetes	Abilitare quando il cluster del servizio Azure Kubernetes è stato creato o aggiornato	Eseguire il pull automatico nel cluster del servizio Azure Kubernetes dal Registro di sistema in un altro tenant di ACTIVE Directory	No, solo accesso pull	Disponibile solo con il cluster del servizio Azure Kubernetes
Amministrazione utente	docker login	Push/pull interattivo da parte di singoli sviluppatori o tester Distribuzione dell'immagine dal Registro di sistema al servizio app Azure o Istanze di Azure Container	No, eseguire sempre il pull e l'accesso push	Account singolo per registro, non consigliato per più utenti
Token di accesso con ambito repository	docker login az acr login nell'interfaccia della riga di comando di Azure Connect-AzContainerRegistry in Azure PowerShell Segreto pull kubernetes	Push/pull interattivo nel repository da parte di singoli sviluppatori o tester Pull automatico dal repository da un singolo sistema o dispositivo esterno	Sì	Attualmente non integrato con l'identità di Active Directory

Account di accesso singolo con Microsoft Entra ID

Interfaccia della riga di comando di Azure

Quando si usa direttamente il Registro di sistema, ad esempio il pull di immagini in e il push di immagini da una workstation di sviluppo a un registro creato, eseguire l'autenticazione usando la singola identità di Azure. Accedere all'interfaccia della riga di comando di Azure con az login e quindi eseguire il comando az acr login:

az login
az acr login --name <acrName>

Quando si esegue l'accesso con az acr login, l'interfaccia della riga di comando usa il token creato con l'esecuzione di az login per l'autenticazione della sessione con il registro. Per completare il flusso di autenticazione, è necessario installare e eseguire l'interfaccia della riga di comando di Docker e il daemon Docker nell'ambiente. az acr login usa il client Docker per impostare un token Microsoft Entra nel docker.config file. Dopo aver effettuato l'accesso in questo modo, le credenziali vengono memorizzate nella cache e i successivi comandi docker nella sessione non richiedono il nome utente o la password.

Suggerimento

az acr login Usare anche per autenticare una singola identità quando si desidera eseguire il push o il pull di artefatti diversi dalle immagini Docker nel registro, ad esempio gli artefatti OCI.

Per l'accesso al Registro di sistema, il token usato da az acr login è valido per 3 ore, pertanto è consigliabile accedere sempre al Registro di sistema prima di eseguire un docker comando. In caso di scadenza del token, è possibile aggiornarlo usando di nuovo il comando az acr login per eseguire nuovamente l'autenticazione.

L'uso az acr login con le identità di Azure offre il controllo degli accessi in base al ruolo di Azure. Per alcuni scenari, è possibile accedere a un registro con la propria identità individuale in Microsoft Entra ID oppure configurare altri utenti di Azure con ruoli e autorizzazioni di Azure specifici. Per gli scenari tra servizi o per gestire le esigenze di un gruppo di lavoro o di un flusso di lavoro di sviluppo in cui non si vuole gestire l'accesso individuale, è anche possibile accedere con un'identità gestita per le risorse di Azure.

az acr login with --expose-token

In alcuni casi, è necessario eseguire l'autenticazione con az acr login quando il daemon Docker non è in esecuzione nell'ambiente. Ad esempio, potrebbe essere necessario eseguire az acr login in uno script in Azure Cloud Shell, che fornisce l'interfaccia della riga di comando di Docker, ma non esegue il daemon Docker.

Per questo scenario, eseguire az acr login prima con il --expose-token parametro . Questa opzione espone un token di accesso anziché eseguire l'accesso tramite l'interfaccia della riga di comando di Docker.

az acr login --name <acrName> --expose-token

L'output visualizza il token di accesso, abbreviato qui:

{
  "accessToken": "eyJhbGciOiJSUzI1NiIs[...]24V7wA",
  "loginServer": "myregistry.azurecr.io"
}

Per l'autenticazione del Registro di sistema, è consigliabile archiviare le credenziali del token in un percorso sicuro e seguire le procedure consigliate per gestire le credenziali di accesso docker. Ad esempio, archiviare il valore del token in una variabile di ambiente:

TOKEN=$(az acr login --name <acrName> --expose-token --output tsv --query accessToken)

docker loginEseguire quindi , passando 00000000-0000-0000-0000-000000000000 come nome utente e usando il token di accesso come password:

docker login myregistry.azurecr.io --username 00000000-0000-0000-0000-000000000000 --password-stdin <<< $TOKEN

Analogamente, è possibile usare il token restituito da az acr login con il comando per eseguire l'autenticazione helm registry login con il Registro di sistema:

echo $TOKEN | helm registry login myregistry.azurecr.io \
            --username 00000000-0000-0000-0000-000000000000 \
            --password-stdin

Azure PowerShell

Quando si usa direttamente il Registro di sistema, ad esempio il pull di immagini in e il push di immagini da una workstation di sviluppo a un registro creato, eseguire l'autenticazione usando la singola identità di Azure. Accedere ad Azure PowerShell con Connessione-AzAccount e quindi eseguire il cmdlet Connessione-AzContainerRegistry:

Connect-AzAccount
Connect-AzContainerRegistry -Name <acrName>

Quando si accede con Connect-AzContainerRegistry, PowerShell usa il token creato durante l'esecuzione Connect-AzAccount per autenticare facilmente la sessione con il registro. Per completare il flusso di autenticazione, è necessario installare e eseguire l'interfaccia della riga di comando di Docker e il daemon Docker nell'ambiente. Connect-AzContainerRegistry usa il client Docker per impostare un token Microsoft Entra nel docker.config file. Dopo aver effettuato l'accesso in questo modo, le credenziali vengono memorizzate nella cache e i successivi comandi docker nella sessione non richiedono il nome utente o la password.

Suggerimento

Connect-AzContainerRegistry Usare anche per autenticare una singola identità quando si desidera eseguire il push o il pull di artefatti diversi dalle immagini Docker nel registro, ad esempio gli artefatti OCI.

Per l'accesso al Registro di sistema, il token usato da Connect-AzContainerRegistry è valido per 3 ore, pertanto è consigliabile accedere sempre al Registro di sistema prima di eseguire un docker comando. In caso di scadenza del token, è possibile aggiornarlo usando di nuovo il comando Connect-AzContainerRegistry per eseguire nuovamente l'autenticazione.

L'uso Connect-AzContainerRegistry con le identità di Azure offre il controllo degli accessi in base al ruolo di Azure. Per alcuni scenari, è possibile accedere a un registro con la propria identità individuale in Microsoft Entra ID oppure configurare altri utenti di Azure con ruoli e autorizzazioni di Azure specifici. Per gli scenari tra servizi o per gestire le esigenze di un gruppo di lavoro o di un flusso di lavoro di sviluppo in cui non si vuole gestire l'accesso individuale, è anche possibile accedere con un'identità gestita per le risorse di Azure.

Entità servizio

Se si assegna un'entità servizio al registro, l'applicazione o il servizio può usarla per eseguire l'autenticazione headless. Le entità servizio consentono il controllo degli accessi in base al ruolo di Azure a un registro ed è possibile assegnare più entità servizio a un registro. Più entità servizio consentono di definire un accesso diverso per applicazioni diverse.

Il token di autenticazione del Registro Azure Container viene creato al momento dell'accesso al Registro Azure Container e viene aggiornato dopo le operazioni successive. Il tempo necessario per il token è di 3 ore.

I ruoli disponibili per un registro contenitori includono:

• AcrPull: pull

• AcrPush: pull e push

• Proprietario: pull, push e assegnazione di ruoli ad altri utenti

Per un elenco completo dei ruoli, vedere Ruoli e autorizzazioni di Registro Azure Container.

Per gli script dell'interfaccia della riga di comando per creare un'entità servizio per l'autenticazione con un registro Azure Container e altre indicazioni, vedere Registro Azure Container'autenticazione con le entità servizio.

Account amministratore

Ogni registro contenitori include un account utente amministratore che, per impostazione predefinita, è disabilitato. È possibile abilitare l'utente amministratore e gestirle nella portale di Azure oppure usando l'interfaccia della riga di comando di Azure, Azure PowerShell o altri strumenti di Azure. L'account amministratore dispone delle autorizzazioni complete per il Registro di sistema.

L'account amministratore è attualmente necessario per alcuni scenari per distribuire un'immagine da un registro contenitori a determinati servizi di Azure. Ad esempio, l'account amministratore è necessario quando si usa il portale di Azure per distribuire un'immagine del contenitore da un registro direttamente in Istanze di Azure Container o azure App Web per contenitori.

Importante

L'account amministratore è pensato per consentire l'accesso al registro a un singolo utente, principalmente a scopo di test. Non è consigliabile condividere le credenziali dell'account amministratore tra più utenti. Tutti gli utenti che si autenticano con l'account amministratore vengono visualizzati come un unico utente con accesso di tipo push e pull al registro. Se si modifica o si disattiva questo account, tutti gli utenti che ne usano le credenziali non potranno più accedere al registro. Negli scenari di tipo headless è consigliabile che gli utenti e le entità servizio abbiano una propria identità.

L'account amministratore viene dotato di due password: entrambe possono essere rigenerate. Le nuove password create per gli account amministratore sono immediatamente disponibili. La rigenerazione delle password per gli account amministratore richiederà 60 secondi per la replica e sarà disponibile. Le due password consentono di mantenere la connessione al registro usando una password mentre l'altra viene rigenerata. Se l'account amministratore è abilitato, è possibile passare il nome utente e una password al comando docker login quando richiesto, per eseguire l'autenticazione di base al registro. Ad esempio:

docker login myregistry.azurecr.io

Per le procedure consigliate per gestire le credenziali di accesso, vedere le informazioni di riferimento sul comando docker login .

Interfaccia della riga di comando di Azure

Per consentire a un utente amministratore di accedere a un registro esistente, è possibile usare il parametro --admin-enabled del comando az acr update nell'interfaccia della riga di comando di Azure:

az acr update -n <acrName> --admin-enabled true

Azure PowerShell

Per abilitare l'utente amministratore per un registro esistente, è possibile usare il EnableAdminUser parametro del comando Update-AzContainerRegistry in Azure PowerShell:

Update-AzContainerRegistry -Name <acrName> -ResourceGroupName myResourceGroup -EnableAdminUser

Per abilitare l'utente amministratore nel portale di Azure, passare al registro interessato, selezionare Chiavi di accesso in IMPOSTAZIONI, quindi selezionare Abilita in Utente amministratore.

Passaggi successivi

• Effettuare il push della prima immagine tramite l'interfaccia della riga di comando di Azure

• Eseguire il push della prima immagine con Azure PowerShell