Verificatie uitschakelen als ARM-sjabloon

  • Artikel

Azure AD-tokens worden gebruikt wanneer registergebruikers worden geverifieerd met ACR. Standaard accepteert Azure Container Registry (ACR) Azure AD-tokens met een doelgroepbereik dat is ingesteld voor Azure Resource Manager (ARM), een beheerlaag voor besturingsvlak voor het beheren van Azure-resources.

Door ARM-doelgroeptokens uit te schakelen en ACR Audience Tokens af te dwingen, kunt u de beveiliging van uw containerregisters verbeteren tijdens het verificatieproces door het bereik van geaccepteerde tokens te beperken.

Met afdwinging van ACR-doelgroeptoken worden alleen Azure AD-tokens met een doelgroepbereik dat specifiek is ingesteld voor ACR, geaccepteerd tijdens het registratie- en aanmeldingsproces. Dit betekent dat de eerder geaccepteerde ARM-doelgroeptokens niet langer geldig zijn voor registerverificatie, waardoor de beveiliging van uw containerregisters wordt verbeterd.

In deze zelfstudie leert u het volgende:

  • Schakel verificatie als arm uit in ACR - Azure CLI.
  • Schakel verificatie als arm uit in ACR - Azure Portal.

Vereisten

  • Azure CLI versie 2.40.0 of hoger installeren of upgraden. Voer az --version uit om de versie te zoeken.
  • Meld u aan bij de Azure-portal.

Verificatie als arm uitschakelen in ACR - Azure CLI

azureADAuthenticationAsArmPolicy Als u het register uitschakelt, wordt het ACR-doelgroeptoken gebruikt. U kunt Azure CLI versie 2.40.0 of hoger az --version gebruiken om de versie te vinden.

  1. Voer de opdracht uit om de huidige configuratie van het registerbeleid voor verificatie weer te geven met behulp van ARM-tokens met het register. Als de status is enabled, kunnen zowel ACL's als ARM-doelgroeptokens worden gebruikt voor verificatie. Als de status is disabled , betekent dit dat alleen de doelgroeptokens van ACR kunnen worden gebruikt voor verificatie.

    az acr config authentication-as-arm show -r <registry>

  2. Voer de opdracht uit om de status van het registerbeleid bij te werken.

    az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]

Verificatie als arm uitschakelen in ACR - Azure Portal

authentication-as-arm Als u de eigenschap uitschakelt door een ingebouwd beleid toe te wijzen, wordt de registereigenschap voor de huidige en toekomstige registers automatisch uitgeschakeld. Dit automatische gedrag is bedoeld voor registers die zijn gemaakt binnen het beleidsbereik. De mogelijke beleidsbereiken omvatten het bereik op resourcegroepsniveau of het bereik abonnements-id binnen de tenant.

U kunt verificatie als arm uitschakelen in de ACR door de onderstaande stappen uit te voeren:

  1. Meld u aan bij de Azure-portal.

  2. Raadpleeg de ingebouwde beleidsdefinities van ACR in de definitie van azure-container-registry-built-in-policy.

  3. Wijs een ingebouwd beleid toe om verificatie als arm-definitie uit te schakelen - Azure Portal.

Wijs een ingebouwde beleidsdefinitie toe om verificatie van ARM-doelgroeptoken uit te schakelen - Azure Portal.

U kunt het beleid voor voorwaardelijke toegang van het register inschakelen in Azure Portal.

Azure Container Registry heeft twee ingebouwde beleidsdefinities om verificatie als arm uit te schakelen, zoals hieronder:

  • Container registries should have ARM audience token authentication disabled. - Dit beleid rapporteert, blokkeert alle niet-compatibele resources en verzendt ook een aanvraag om niet-compatibel te worden bijgewerkt naar compatibel.

  • Configure container registries to disable ARM audience token authentication. - Dit beleid biedt herstel en updates die niet compatibel zijn met compatibele resources.

    1. Meld u aan bij de Azure-portal.

    2. Navigeer naar uw Azure Container Registry-resourcegroep>> Instellingen> Policies.

      Screenshot showing how to navigate Azure policies.

    3. Navigeer naar Azure Policy en selecteer Op de toewijzingen beleid toewijzen.

      Screenshot showing how to assign a policy.

    4. Gebruik onder het beleid Toewijzen filters om te zoeken naar het bereik, de beleidsdefinitie, de toewijzingsnaam.

      Screenshot of the assign policy tab.

    5. Selecteer Bereik om te filteren en te zoeken naar het abonnement en resourcegroep en kies Selecteren.

      Screenshot of the Scope tab.

    6. Selecteer beleidsdefinitie om de ingebouwde beleidsdefinities voor het beleid voor voorwaardelijke toegang te filteren en te doorzoeken.

      Screenshot of built-in-policy-definitions.

    7. Gebruik filters om bereik, beleidsdefinitie en toewijzingsnaam te selecteren en te bevestigen.

    8. Gebruik de filters om nalevingsstatussen te beperken of om te zoeken naar beleid.

    9. Bevestig uw instellingen en stel het afdwingen van beleid in als ingeschakeld.

    10. Selecteer Beoordelen en maken.

      Screenshot to activate a Conditional Access policy.

Volgende stappen

Beleid voor voorwaardelijke toegang maken en configureren