Registrul de containere Azure: previzualizare a permisiunilor in domeniul depozitului

Echipa Azure Container Registry (ACR) lanseaza previzualizarea permisiunilor de control al accesului bazate pe roluri (RBAC), care sunt cele mai votate pe UserVoice. In aceasta versiune, avem o experienta de interfata de linie de comanda (CLI) pentru a incerca sa oferi feedback.

ACR accepta deja mai multe optiuni de autentificare utilizand identitati care au acces bazat pe roluri la un intreg registru. Cu toate acestea, pentru scenarii cu mai multe echipe, poate doriti sa consolidati mai multe echipe intr-un singur registru, limitand accesul fiecarei echipe la depozitele lor specifice. RBAC cu domeniul de depozitare activeaza acum aceasta functionalitate.

Iata cateva dintre scenariile in care permisiunile cuprinse in depozit ar putea fi utile:

• Limitati accesul la depozit la anumite grupuri de utilizatori din cadrul organizatiei dvs. De exemplu, oferiti acces la scriere dezvoltatorilor care construiesc imagini care vizeaza anumite depozite si acces la citire pentru echipele care se desfasoara din aceste depozite.

• Oferiti milioane de dispozitive IoT cu acces individual pentru a extrage imagini din anumite depozite.

• Oferiti unei organizatii externe permisiuni catre anumite depozite.

In aceasta versiune, am introdus jetoanele ca mecanism de implementare a permisiunilor RBAC cuprinse in depozit. Un token este o acreditare utilizata pentru autentificarea in registru. Poate fi sustinut cu nume de utilizator si parola sau obiecte Azure Active Directory (AAD), cum ar fi utilizatorii Azure Active Directory, principalii de servicii si identitati gestionate. Pentru aceasta versiune, am furnizat jetoane sustinute de nume de utilizator si parola. Versiunile viitoare vor accepta jetoanele sustinute de obiecte Azure Active Directory, cum ar fi utilizatorii Azure Active Directory, principalii de servicii si identitatile gestionate. Vezi Figura 1.

* Suportul pentru jetonul Azure Active Directory (AAD) va fi disponibil intr-o versiune viitoare.

figura 1

Figura 2 de mai jos descrie relatia dintre jetoane si harti-scop.

• Un token este o acreditare utilizata pentru autentificarea in registru. Are un set permis de actiuni care sunt cuprinse in unul sau mai multe depozite. Dupa ce ati generat un token, il puteti utiliza pentru autentificare cu registrul dvs. Puteti face o autentificare docker folosind urmatoarea comanda:

docker login –usus mytoken –password-stdin myregistry.azurecr.io.

• O harta de domeniu este un obiect de registru care grupeaza permisiunile de depozit pe care le aplicati unui simbol. Ofera un grafic al accesului la unul sau mai multe depozite. Puteti aplica permisiuni de depozitare cu scop la un jeton sau le puteti aplica din nou la alte jetoane. Daca nu aplicati o harta de scopuri atunci cand creati un token, o harta de scopuri este creata automat pentru dvs., pentru a salva setarile de permisiune.

O harta de scopuri va ajuta sa configurati mai multi utilizatori cu acces identic la un set de depozite.

Figura 2

Pe masura ce clientii folosesc containere si alte artefacte pentru implementarea lor IoT, numarul de dispozitive poate creste in milioane. Pentru a sustine scara IoT, Azure Container Registry a implementat RBAC bazat pe depozit, folosind jetoane (figura 3). Jetoanele nu inlocuiesc directorii serviciilor sau identitatile gestionate. Puteti adauga jetoane ca optiune suplimentara, oferind scalabilitatea scenariilor de implementare IoT.

Acest articol arata cum sa creati un token cu permisiuni limitate la un anumit depozit dintr-un registru. Odata cu introducerea permisiunilor de depozitare bazate pe token, puteti oferi acum utilizatorilor sau serviciilor acces la domeniu si limitat in timp la depozite fara a necesita o identitate Azure Active Directory. In viitor, vom suporta jetoanele sustinute de obiectele Azure Active Directory. Consultati aceasta noua caracteristica si spuneti-ne feedbackul dvs. despre GitHub.

Figura 3

Disponibilitate si feedback

Experienta CLI Azure este acum in previzualizare. Ca intotdeauna, ne place sa ascultam feedback-ul dvs. despre caracteristicile existente, precum si idei pentru foaia de parcurs a produsului nostru.

Foaie de parcurs: pentru vizibilitate in activitatea noastra planificata.

UserVoice: Pentru a vota cererile existente sau pentru a crea o noua cerere.

Probleme: pentru a vizualiza erorile si problemele existente sau pentru a inregistra altele noi.

Documente ACR: Pentru tutoriale si documentatie ACR.