Отключение проверки подлинности в качестве шаблона ARM

  • Статья

Маркеры Azure AD используются при проверке подлинности пользователей реестра с помощью ACR. По умолчанию Реестр контейнеров Azure (ACR) принимает маркеры Azure AD с область аудитории, установленной для Azure Resource Manager (ARM), уровня управления плоскостями управления для управления ресурсами Azure.

Отключив маркеры аудитории ARM и применив маркеры аудитории ACR, вы можете повысить безопасность реестров контейнеров во время проверки подлинности, сузив область принятых маркеров.

При применении маркера аудитории ACR во время проверки подлинности реестра и входа в реестр будут приниматься только маркеры Azure AD с аудиторией, область определенной аудитории для ACR. Это означает, что ранее принятые маркеры аудитории ARM больше не будут допустимы для проверки подлинности реестра, тем самым повышая безопасность реестров контейнеров.

В этом руководстве описано следующее:

  • Отключите проверку подлинности как arm в ACR — Azure CLI.
  • Отключите проверку подлинности как руку в ACR — портал Azure.

Необходимые компоненты

Отключение проверки подлинности как arm в ACR — Azure CLI

Отключение azureADAuthenticationAsArmPolicy приведет к принудительному использованию маркера аудитории ACR реестра. Чтобы найти версию, az --version можно использовать Azure CLI версии 2.40.0 или более поздней.

  1. Выполните команду, чтобы отобразить текущую конфигурацию политики реестра для проверки подлинности с помощью маркеров ARM с реестром. Если состояние равно enabled, то для проверки подлинности можно использовать как AR, так и маркеры аудитории ARM. Если состояние означает disabled , что для проверки подлинности можно использовать только маркеры аудитории ACR.

    az acr config authentication-as-arm show -r <registry>

  2. Выполните команду, чтобы обновить состояние политики реестра.

    az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]

Отключение проверки подлинности как руки в ACR — портал Azure

Отключение authentication-as-arm свойства путем назначения встроенной политики автоматически отключает свойство реестра для текущих и будущих реестров. Это автоматическое поведение для реестров, созданных в область политики. Возможные область политики включают уровень группы ресурсов область или уровень идентификатора подписки область в клиенте.

Вы можете отключить проверку подлинности как arm в ACR, выполнив следующие действия.

  1. Войдите на портал Azure.

  2. Ознакомьтесь со встроенными определениями политик ACR в определении встроенной политики azure-container-registry.

  3. Назначьте встроенную политику, чтобы отключить определение проверки подлинности как arm — портал Azure.

Назначьте встроенное определение политики, чтобы отключить проверку подлинности маркера аудитории ARM — портал Azure.

Политику условного доступа реестра можно включить в портал Azure.

Реестр контейнеров Azure имеет два встроенных определения политик для отключения проверки подлинности как arm, как показано ниже:

  • Container registries should have ARM audience token authentication disabled. — Эта политика будет сообщать, блокировать любые несоответствующие ресурсы, а также отправлять запрос на обновление несоответствующего требованиям.

  • Configure container registries to disable ARM audience token authentication. — Эта политика предлагает исправление и обновляет несоответствующие требованиям ресурсы.

    1. Войдите на портал Azure.

    2. Перейдите к группе >Реестр контейнеров Azure> Resource Параметры> Policies.

      Screenshot showing how to navigate Azure policies.

    3. Перейдите к Политика Azure, в заданиях выберите "Назначить политику".

      Screenshot showing how to assign a policy.

    4. В разделе "Назначение политики" используйте фильтры для поиска и поиска области, определения политики, имени назначения.

      Screenshot of the assign policy tab.

    5. Выберите область для фильтрации и поиска подписки и группы ресурсов и нажмите кнопку "Выбрать".

      Screenshot of the Scope tab.

    6. Выберите определение политики для фильтрации и поиска встроенных определений политик для политики условного доступа.

      Screenshot of built-in-policy-definitions.

    7. Используйте фильтры для выбора и подтверждения области, определения политики и имени назначения.

    8. Используйте фильтры для выбора состояний соответствия требованиям и поиска политик.

    9. Подтвердите параметры и установите принудительное применение политик включено.

    10. Выберите Просмотр и создание.

      Screenshot to activate a Conditional Access policy.

Следующие шаги

Создание и настройка политики условного доступа