Saltar al contenido principal

 Subscribe

El equipo de Azure Container Registry (ACR) lanza la versión preliminar de los permisos de control de acceso basado en rol (RBAC) orientados a repositorios, nuestro elemento más votado en UserVoice. En esta versión, tenemos una experiencia de la interfaz de la línea de comandos (CLI) para que la pruebe y proporcione comentarios.

ACR ya admite varias opciones de autenticación que usan identidades que tienen acceso basado en roles a un registro completo. Sin embargo, en el caso de los escenarios con varios equipos, es posible que desee consolidar varios equipos en un solo registro, limitando el acceso de cada equipo a sus repositorios específicos. RBAC orientado a repositorios ahora habilita esta funcionalidad.

Estos son algunos de los escenarios donde los permisos orientados a repositorios podrían resultar útiles:

  • Limite el acceso del repositorio a grupos de usuarios específicos de la organización. Por ejemplo, proporcione acceso de escritura a los desarrolladores que compilan imágenes destinadas a repositorios específicos, y acceso de lectura a los equipos que realizan implementaciones desde estos repositorios.

  • Proporcione millones de dispositivos de IoT con acceso individual para extraer imágenes de repositorios específicos.

  • Proporcione a una organización externa permisos a repositorios específicos.

En esta versión, hemos presentado tokens como mecanismo para implementar permisos de RBAC orientados a repositorios. Un token es una credencial usada para autenticarse con el registro. Puede contar con el respaldo de un nombre de usuario y una contraseña, o bien de objetos de Azure Active Directory (AAD) como usuarios de Azure Active Directory, entidades de servicio e identidades administradas. Para esta versión, hemos proporcionado tokens respaldados por un nombre de usuario y una contraseña. Las versiones futuras admitirán tokens respaldados por objetos de Azure Active Directory como usuarios de Azure Active Directory, entidades de servicio e identidades administradas. Consulte la Figura 1.

repositorio

*La compatibilidad con el token respaldado por Azure Active Directory (AAD) estará disponible en una versión futura.

Figura 1

En la Figura 2 mostrada a continuación se describe la relación entre los tokens y las asignaciones de ámbito.

  • Un token es una credencial usada para autenticarse con el registro. Tiene un conjunto permitido de acciones cuyo ámbito es uno o varios repositorios. Una vez que ha generado un token, puede usarlo para autenticarse con su registro. Puede llevar a cabo un inicio de sesión de Docker mediante el siguiente comando:

docker login --username mytoken --password-stdin myregistry.azurecr.io.

  • Una asignación de ámbito es un objeto de registro que agrupa los permisos de repositorio que se aplican a un token. Proporciona un gráfico de acceso a uno o varios repositorios. Puede aplicar permisos del repositorio con ámbito a un token o volver a aplicarlos a otros tokens. Si no aplica una asignación de ámbito al crear un token, se crea automáticamente una asignación de ámbito para guardar la configuración de permisos.

Una asignación de ámbito le ayuda a configurar varios usuarios con un acceso idéntico a un conjunto de repositorios.

Relación entre los tokens y las asignaciones de ámbitoFigura 2

Como los clientes usan contenedores y otros artefactos para su implementación de IoT, el número de dispositivos puede multiplicarse por millones. Para admitir la escala de IoT, Azure Container Registry ha implementado RBAC basado en repositorios, mediante tokens (figura 3). Los tokens no son un reemplazo de las entidades de servicio ni de las identidades administradas. Puede agregar tokens como opción adicional que proporciona escalabilidad de los escenarios de implementación de IoT.

En este artículo se muestra cómo crear un token con permisos restringidos a un repositorio específico dentro de un registro. Con la presentación de permisos de repositorio basados en tokens, ahora puede proporcionar a los usuarios o servicios acceso limitado en el tiempo y con ámbito a repositorios sin necesidad de una identidad de Azure Active Directory. En el futuro, admitiremos tokens respaldados por objetos de Azure Active Directory. Consulte esta nueva característica y envíenos sus comentarios sobre GitHub.

Tokens

Figura 3

Disponibilidad y comentarios

La experiencia de la CLI de Azure ya está en versión preliminar. Como siempre, nos encanta escuchar su opinión sobre las características existentes, así como sus ideas sobre la hoja de ruta del producto.

Hoja de ruta: para que pueda ver el trabajo que tenemos planeado.

UserVoice: para que pueda votar por solicitudes existentes o crear otras nuevas.

Problemas: vea los problemas y errores existentes o registre otros nuevos.

Documentos ACR: para tutoriales y documentación de ACR.

  • Explore

     

    Let us know what you think of Azure and what you would like to see in the future.

     

    Provide feedback

  • Build your cloud computing and Azure skills with free courses by Microsoft Learn.

     

    Explore Azure learning


Join the conversation