Share via

Desabilitar a autenticação como modelo ARM

  • Artigo

Os Tokens do Azure AD são usados quando os usuários do Registro se autenticam com o ACR. Por padrão, o Registro de Contêiner (ACR) do Azure aceita Tokens do Azure AD com um escopo de audiência definido para o Azure Resource Manager (ARM), uma camada de gerenciamento de plano de controle para gerenciar recursos do Azure.

Ao desabilitar os Tokens de Audiência ARM e aplicar os Tokens de Audiência ACR, você pode melhorar a segurança de seus registros de contêiner durante o processo de autenticação, restringindo o escopo dos tokens aceitos.

Com a imposição do Token de Audiência do ACR, somente os Tokens do Azure AD com um escopo de audiência definido especificamente para o ACR serão aceitos durante o processo de autenticação e entrada do Registro. Isso significa que os ARM Audience Tokens aceitos anteriormente não serão mais válidos para autenticação de registro, aumentando assim a segurança de seus registros de contêiner.

Neste tutorial, você aprenderá a:

  • Desabilite a autenticação como ARM no ACR – CLI do Azure.
  • Desabilite a autenticação como ARM no ACR – portal do Azure.

Pré-requisitos

Desabilitar autenticação como ARM no ACR – CLI do Azure

Desabilitar azureADAuthenticationAsArmPolicy forçará o registro a usar o token de público-alvo do ACR. Use a CLI do Azure versão 2.40.0 ou posterior; execute az --version para localizar a versão.

  1. Execute o comando para mostrar a configuração atual da política do Registro para autenticação usando tokens ARM com o registro. Se o status for enabled, os tokens de público-alvo de ACRs e ARM poderão ser usados para autenticação. Se o status for disabled, apenas os tokens de público-alvo do ACR poderão ser usados para autenticação.

    az acr config authentication-as-arm show -r <registry>

  2. Execute o comando para atualizar o status da política do Registro.

    az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]

Desabilitar autenticação como ARM no ACR – portal do Azure

Desabilitar a propriedade authentication-as-arm atribuindo uma política interna desabilitará automaticamente a propriedade de registro para os registros atuais e futuros. Esse comportamento automático é para registros criados dentro do escopo da política. Os escopos de política possíveis incluem o escopo do nível do Grupo de Recursos ou o escopo do nível de ID da Assinatura dentro do locatário.

Você pode desabilitar a autenticação como ARM no ACR seguindo estas etapas:

  1. Entre no portal do Azure.

  2. Consulte as definições de política internas do ACR nas definições internas em azure-container-registry-built-in-policy.

  3. Atribua uma política interna para desabilitar a definição de autenticação como ARM – portal do Azure.

Atribua uma definição de política interna para desabilitar a autenticação de token de público-alvo do ARM – portal do Azure.

Você pode habilitar a política de Acesso Condicional do Registro no portal do Azure.

O Registro de Contêiner do Azure tem duas definições de política internas para desabilitar a autenticação como ARM, conforme abaixo:

  • Container registries should have ARM audience token authentication disabled. – essa política relatará, bloqueará todos os recursos que não estão em conformidade e enviará uma solicitação para atualizar o que não está em conformidade pelo que está em conformidade.

  • Configure container registries to disable ARM audience token authentication. – essa política oferece correção e atualiza recursos que não estão em conformidade com recursos em conformidade.

    1. Entre no portal do Azure.

    2. Navegue para Registro de Contêiner do Azure>Grupo de Recursos>Configurações>Políticas.

      Screenshot showing how to navigate Azure policies.

    3. Navegue até Azure Policy. Em Atribuições, selecione Atribuir política.

      Screenshot showing how to assign a policy.

    4. Em Atribuir política, use filtros para pesquisar e localizar o Escopo, a Definição de política e o Nome da atribuição.

      Screenshot of the assign policy tab.

    5. Selecione Escopo para filtrar e pesquisar a Assinatura e o ResourceGroup e escolha Selecionar.

      Screenshot of the Scope tab.

    6. Selecione Definição de política para filtrar e pesquisar as definições de política internas para a política de acesso condicional.

      Screenshot of built-in-policy-definitions.

    7. Use filtros para selecionar e confirmar Escopo, Definição de política e Nome da atribuição.

    8. Use os filtros para limitar os estados de conformidade ou para procurar por políticas.

    9. Confirme suas configurações e defina a imposição da política como habilitada.

    10. Selecione Revisar + Criar.

      Screenshot to activate a Conditional Access policy.

Próximas etapas

Criar e configurar uma política de Acesso Condicional