Azure 容器注册表的条件访问策略
Azure 容器注册表 (ACR) 提供了创建和配置条件访问策略的选项。 条件访问策略通常与 Azure Active Directory (Azure AD) 相关联,用于对各种 Azure 服务(包括 ACR)强制实施强身份验证和访问控制。
条件访问策略在 Azure 容器注册表的第一因素身份验证完成后应用。 ACR 的条件访问仅用于用户身份验证。 该策略使用户能够选择控件,并根据策略决策进一步阻止或授予访问权限。
条件访问策略旨在强制实施强身份验证。 此策略使安全性能够满足组织合规性要求,并保护数据和用户帐户的安全。
重要
若要为注册表配置条件访问策略,必须对所需租户中的所有注册表禁用 authentication-as-arm。
本教程介绍如何执行下列操作:
- 为 Azure 容器注册表创建和配置条件访问策略。
- 排查条件访问策略问题。
先决条件
- 安装或升级到 Azure CLI 版本 2.40.0 或更高版本。 若要查找版本,请运行
az --version。 - 登录 Azure 门户。
创建和配置条件访问策略 - Azure 门户
ACR 仅支持 Active Directory 用户的条件访问策略。 它当前不支持服务主体的条件访问策略。 若要为注册表配置条件访问策略,必须对所需租户中的所有注册表禁用 authentication-as-arm。 在本教程中,我们将从 Azure 门户中为 Azure 容器注册表创建基本条件访问策略。
按如下所述创建一个条件访问策略,并分配用户测试组:
使用拥有全局管理员权限的帐户登录到 Azure 门户。
搜索并选择 Microsoft Entra ID。 然后在左侧菜单中选择“安全”。
依次选择“条件访问”、“+ 新建策略”、“创建新策略”。
输入策略的名称,例如“demo”。
在“分配”下,选择“用户或工作负载标识”下的当前值。
在“此策略的应用对象”下,验证并选择“用户和组”。
在“包括”下,选择“选择用户和组”,然后选择“所有用户”。
在“排除”下,选择“选择用户和组”,排除选择的任何选项。
在“云应用或操作”下,选择“云应用”。
在“包含”下,选择“选择应用” 。
浏览并选择要应用条件访问的应用(在本例中为 Azure 容器注册表),然后选择“选择”。
在“条件”下,使用“用户风险级别”、“登录风险级别”、“登录风险检测(预览版)”、“设备平台”、“位置”、“客户端应用”、“时间(预览版)”、“筛选器”等选项配置控制访问级别。
在 Azure 门户的登录事件期间,在“授予”下筛选并选择选项,强制授予访问权限或阻止访问权限。 在本例中,使用“需要多重身份验证”授予访问权限,然后选择“选择”。
提示
若要配置和授予多重身份验证,请参阅多重身份验证的配置和条件。
在“会话”下筛选并选择选项,以启用云应用会话级别体验的任何控制。
选择并确认后,在“启用策略”下,选择“打开”。
若要应用和激活策略,请选择“创建”。
我们现在已完成为 Azure 容器注册表创建条件访问策略。
排查条件访问策略
- 有关条件访问登录的问题,请参阅排查条件访问登录问题。