Översikt över Azure Container Registry Entra-behörigheter och rolltilldelningar

2025-05-04

Azure Container Registry (ACR) erbjuder en uppsättning inbyggda roller som tillhandahåller Microsoft Entra-baserad behörighetshantering till ett ACR-register. Med rollbaserad åtkomstkontroll i Azure (RBAC) kan du tilldela en inbyggd roll till användare, hanterade identiteter eller tjänstens huvudnamn för att bevilja Microsoft Entra-baserade behörigheter som definierats i rollen. Du kan också definiera och tilldela anpassade roller med detaljerade behörigheter som är skräddarsydda för dina specifika behov om de inbyggda rollerna inte uppfyller dina krav.

Identitetstyper för rolltilldelning som stöds

ACR-roller kan tilldelas till följande identitetstyper för att bevilja behörigheter till ett register:

Individuell användaridentitet
Hanterad identitet för Azure-resurser
- Azure DevOps – Azure Pipelines-identitet
- Azure Kubernetes Service-nodens kubelet-identitet (AKS) gör det möjligt för AKS-noden att hämta avbildningar från ACR. ACR stöder rolltilldelningar för både AKS-hanterad kubelet-identitet och AKS-fördefinierad kubeletidentitet för AKS-noder för att hämta avbildningar från ACR.
- Azure Container Apps-identitet (ACA)
- Identitet för Azure Container Instances (ACI)
- Azure Machine Learning-arbetsyteidentitet (AML)
- Kubelet-identitet för AML-ansluten Kubernetes-klusternod så att Kubernetes-klustrets noder kan hämta avbildningar från ACR.
- Onlineidentitet för AML-slutpunkten
- Azure App Service-identitet
- Azure Web Apps-identitet
- Azure Batch-identitet
- Azure Functions-identitet
Tjänstens huvudnamn
- AKS-klustertjänstens huvudansvarig för att möjliggöra för AKS-noder att hämta avbildningar från ACR. ACR stöder även AKS-nod mellan klientorganisationer till ACR-autentisering via rolltilldelningar och autentisering mellan klientorganisationer.
- ACI-tjänstens huvudnamn
- Hybrid- eller lokalt AKS-kluster på Azure Stack Hub som använder tjänstens princip

Observera att ACR-anslutna register, ACR:s lokala registererbjudande som skiljer sig från molnbaserad ACR, inte stöder Rolltilldelningar i Azure och Entra-baserad behörighetshantering.

Utföra rolltilldelningar för att bevilja behörigheter

Se Steg för att lägga till en rolltilldelning för information om hur du tilldelar en roll till en identitet. Rolltilldelningar kan göras med hjälp av:

Om du vill utföra rolltilldelningar måste du antingen ha Owner rollen eller Role Based Access Control Administrator rollen i registret.

Omfångsrolltilldelningar till specifika lagringsplatser

Du kan använda Microsoft Entra-attributbaserad åtkomstkontroll (ABAC) för att hantera Microsoft Entra-baserade lagringsplatsbehörigheter. Med den här funktionen kan du omfångsbegränsa rolltilldelningar till specifika lagringsplatser i ett register.

En översikt över Microsoft Entra ABAC-lagringsplatsbehörigheter, inklusive de inbyggda ACR-roller som stöder Microsoft Entra ABAC-villkor, finns i Microsoft Entra-baserade lagringsplatsbehörigheter. Du kan också läsa katalogreferensen för Azure Container Registry-roller för en lista över inbyggda roller som stöder Microsoft Entra ABAC-villkor.

Rekommenderade inbyggda roller efter scenario

Tillämpa principen om lägsta behörighet genom att endast tilldela de behörigheter som krävs för att en identitet ska kunna utföra sin avsedda funktion. Dessa vanliga scenarier har var och en en rekommenderad inbyggd roll.

Anmärkning

Vilka inbyggda roller och rollbeteenden som gäller beror på registrets läge för rolltilldelningsbehörigheter. Detta visas på bladet Egenskaper i Azure-portalen:

RBAC Registry + ABAC-lagringsplatsbehörigheter: Stöder RBAC-standardrolltilldelningar med valfria Microsoft Entra ABAC-villkor för att begränsa tilldelningar till specifika förvar.
RBAC-registerbehörigheter: Stöder endast rbac-standardtilldelningar utan ABAC-villkor.

Mer information om Microsoft Entra ABAC- och ABAC-aktiverade roller finns i Microsoft Entra-baserade lagringsplatsbehörigheter.

Scenario: Identiteter som behöver hämta avbildningar och validera artefakter i leveranskedjan, till exempel utvecklare, pipelines och containerorkestrerare (till exempel Kubelet-identitet för Azure Kubernetes Service-nod, Azure Container Apps, Azure Container Instances, Azure Machine Learning-arbetsytor)
- Roll: Container Registry Repository Reader
- Syfte: Ger skrivskyddad åtkomst för dataplanet för att hämta bilder och artefakter, visa taggar, lagringsplatser, OCI-referenser (Open Container Initiative) och konfigurationer för artefaktströmning. Innehåller inga styrplans- eller skrivbehörigheter. Beviljar inte kataloglistbehörigheter för lagringsplatsen för att lista några lagringsplatser i registret.
- ABAC-stöd: Den här rollen stöder valfria Microsoft Entra ABAC-villkor för att omfångsbegränsa rolltilldelningar till specifika lagringsplatser i registret.
Scenario: Identiteter som CI/CD-byggpipelines och utvecklare som skapar, överför avbildningar och hanterar avbildningstaggar
- Roll: Container Registry Repository Writer
- Behörigheter: Ger dataplan åtkomst till att pusha, dra och uppdatera bilder och artefakter (men inte ta bort), läsa/hantera taggar, läsa/hantera OCI-referenser samt aktivera (men inte inaktivera) artefaktströmning för lagringsplatser och bilder. Innehåller inga behörigheter för kontrollplanet. Beviljar inte kataloglistbehörigheter för lagringsplatsen för att lista några lagringsplatser i registret.
- ABAC-stöd: Den här rollen stöder valfria Microsoft Entra ABAC-villkor för att omfångsbegränsa rolltilldelningar till specifika lagringsplatser i registret.
Scenario: Identiteter som behöver ta bort bilder, artefakter, taggar och OCI-referenter
- Roll: Container Registry Repository Contributor
- Behörigheter: Ger behörighet att läsa, skriva, uppdatera och ta bort bilder och artefakter, läsa/hantera/ta bort taggar, läsa/hantera/ta bort OCI-refererare och aktivera/inaktivera artefaktströmning för lagringsplatser och bilder. Innehåller inga behörigheter för kontrollplanet. Beviljar inte kataloglistbehörigheter för lagringsplatsen för att lista några lagringsplatser i registret.
- ABAC-stöd: Den här rollen stöder valfria Microsoft Entra ABAC-villkor för att omfångsbegränsa rolltilldelningar till specifika lagringsplatser i registret.
Scenario: Identiteter som behöver lista alla lagringsplatser i registret
- Roll: Container Registry Repository Catalog Lister
- Behörigheter: Ger dataplaneåtkomst för att lista alla lagringsplatser i registret, inklusive genom register-API-slutpunkterna {loginServerURL}/acr/v1/_catalog eller {loginServerURL}/v2/_catalog. Innehåller inga behörigheter för kontrollplanet eller för att pusha/pulla bilder.
- ABAC-stöd: Den här rollen stöder inte Microsoft Entra ABAC-villkor. Den här rolltilldelningen ger därför behörighet att lista alla lagringsplatser i registret.
Scenario: Pipelines, identiteter och utvecklare som signerar bilder
- För signering av bilder med OCI-refererare som Notary Project:
  - Roll: Container Registry Repository Writer
  - Behörigheter: Ger dataplanet åtkomst till push-signaturer i form av OCI-refererare som är kopplade till bilder och artefakter. Innehåller inga behörigheter för kontrollplanet.
  - ABAC-stöd: Den här rollen stöder valfria Microsoft Entra ABAC-villkor för att omfångsbegränsa rolltilldelningar till specifika lagringsplatser i registret.
- För signering av avbildningar med Docker Content Trust (DCT):
  - Signering av bilder med DCT för ABAC-aktiverade register stöds inte.
Scenario: Pipelines, identiteter och utvecklare som behöver skapa, uppdatera eller ta bort ACR-register
- Roll: Container Registry Contributor and Data Access Configuration Administrator
- Behörigheter:
  - Ger kontrollplansåtkomst för att skapa, konfigurera, hantera och ta bort register, inklusive:
    - konfigurera register-SKU:er
    - inställningar för autentiseringsåtkomst (inloggningsuppgifter för administratörsanvändare, anonym pull, icke-Microsoft Entra-tokenbaserad lagringsplatsbehörighet och Microsoft Entra-autentisering som målgrupp för arm-token),
    - funktioner för hög tillgänglighet (geo-replikering, tillgänglighetszoner och zonredundans),
    - lokala funktioner (anslutna register),
    - registerslutpunkter (dedikerade dataslutpunkter)
    - nätverksåtkomst (privata länk- och privata slutpunktsinställningar, åtkomst till offentligt nätverk, förbikoppling av betrodda tjänster, brandväggsregler för nätverk och tjänstslutpunkter för virtuellt nätverk (VNET)
    - registerprinciper (kvarhållningsprincip, registeromfattande karantänaktivering, aktivering av mjuk borttagning och exportprincip för dataexfiltrering)
    - diagnostik- och övervakningsinställningar (diagnostikinställningar, loggar, mått, webhooks för register och geo-replikering och Event Grid)
    - hantera en systemtilldelad hanterad identitet för ett register
  - Obs! Den här rollen ger behörighet att ta bort själva registret.
  - Obs! Den här rollen omfattar inte dataplansåtgärder (till exempel push/pull-bild), rolltilldelningsfunktioner eller ACR-uppgift.
  - Obs! Om du vill hantera ett registers användartilldelade hanterade identitet måste den tilldelade personen också ha Managed Identity Operator rollen.
- ABAC-stöd: Den här rollen stöder inte Microsoft Entra ABAC-villkor eftersom rollen är begränsad till registernivån, vilket ger behörighet att hantera kontrollplansinställningar och konfigurationer för hela registret.
Scenario: Pipelines, infrastrukturtekniker eller verktyg för observabilitet/övervakning av styrplan som behöver lista register och visa registerkonfigurationer, men inte ha åtkomst till registerbilderna
- Roll: Container Registry Configuration Reader and Data Access Configuration Reader
- Behörigheter: Skrivskyddad motsvarighet till Container Registry Contributor and Data Access Configuration Administrator rollen. Ger kontrollplansåtkomst för att visa och lista register och inspektera registerkonfigurationer, men ändra dem inte. Inkluderar inte dataplanoperationer (till exempel push/pull av bilder) eller funktioner för rolltilldelning.
- ABAC-stöd: Den här rollen stöder inte Microsoft Entra ABAC-villkor eftersom rollen är begränsad till registernivån, vilket ger behörighet att läsa kontrollplansinställningar och konfigurationer för hela registret.
Scenario: Sårbarhetsskannrar och verktyg som behöver granska register och registerkonfigurationer samt åtkomst till registeravbildningar för att söka igenom dem efter sårbarheter
- Roller: Container Registry Repository Reader, Container Registry Repository Catalog Listeroch Container Registry Configuration Reader and Data Access Configuration Reader
- Behörigheter: Ger åtkomst till kontrollplanet för att visa och lista ACR-register samt granska registerkonfigurationer för granskning och efterlevnad. Ger också behörighet att hämta bilder, artefakter och visa taggar för att genomsöka och analysera bilder efter säkerhetsrisker.
- ABAC-stöd: ACR rekommenderar att sårbarhetsskannrar och övervakare har fullständig dataplansåtkomst till alla lagringsplatser i registret. Därför bör dessa roller tilldelas utan Microsoft Entra ABAC-villkor för att bevilja rollbehörigheter utan att omfångsanpassa dem till specifika lagringsplatser.
Scenario: Pipelines och identiteter som samordnar ACR-uppgifter
- Roll: Container Registry Tasks Contributor
- Behörigheter: Hantera ACR-uppgifter, inklusive uppgiftsdefinitioner och aktivitetskörningar, aktivitetsagentpooler, snabbversioner med az acr build och snabbkörningar med az acr runoch aktivitetsloggar. Innehåller inte behörigheter för dataplan eller bredare registerkonfiguration
- Obs! För att fullständigt hantera uppgiftsidentiteter måste den tilldelade personen ha Managed Identity Operator rollen.
- ABAC-stöd: Den här rollen stöder inte Microsoft Entra ABAC-villkor eftersom rollen är begränsad till registernivån, vilket ger behörighet att hantera alla ACR-uppgifter i registret.
Scenario: Identiteter såsom pipelines och utvecklare som importerar bilder med az acr import
- Roll: Container Registry Data Importer and Data Reader
- Behörigheter: Ger åtkomst till kontrollplanet för att utlösa avbildningsimporter med hjälp av az acr importoch dataplansåtkomst för att verifiera att importen lyckades (hämta importerade avbildningar och artefakter, visa lagringsplatsens innehåll, lista OCI-refererare och inspektera importerade taggar). Tillåter inte push-överföring eller ändring av innehåll i registret.
- ABAC-stöd: Den här rollen stöder inte Microsoft Entra ABAC-villkor eftersom rollen är begränsad till registernivån, vilket ger behörighet att importera avbildningar till valfri lagringsplats i registret. Det ger också behörighet att läsa avbildningar på alla lagringsplatser i registret.
Scenario: Identiteter som pipelines och utvecklare som hanterar ACR-överföringspipelines för överföring av artefakter mellan register med mellanliggande lagringskonton över nätverks-, klient- eller luftspaltgränser
- Roll: Container Registry Transfer Pipeline Contributor
- Behörigheter: Ger kontrollplansåtkomst för att hantera ACR-import-/exportöverföringspipelines och pipelinekörningar med mellanliggande lagringskonton. Omfattar inte behörigheter för dataplan, bredare registeråtkomst eller behörigheter för att hantera andra Azure-resurstyper, till exempel lagringskonton eller nyckelvalv.
- ABAC-stöd: Den här rollen stöder inte Microsoft Entra ABAC-villkor eftersom rollen är begränsad till registernivån, vilket ger behörighet att hantera alla ACR-överföringspipelines i registret.
Scenario: Hantering av avbildningar i karantän
- Roller: AcrQuarantineReader och AcrQuarantineWriter
- Behörigheter: Hantera avbildningar i karantän i registret, inklusive att visa och hämta avbildningar i karantän för ytterligare kontroll och ändra karantänstatusen för avbildningar. Bilder som är i karantän är pushade bilder som inte kan hämtas eller användas förrän karantänen hävs.
- ABAC-stöd: Den här rollen stöder inte Microsoft Entra ABAC-villkor eftersom rollen är begränsad till registernivån, vilket ger behörighet att hantera alla avbildningar i karantän i registret.
Scenario: Utvecklare eller processer som konfigurerar automatisk rensning av register på ACR-uppgifter
- Roll: Container Registry Tasks Contributor
- Behörigheter: Ger styrnivåbehörigheter för att administrera automatisk rensning, som körs på ACR-uppgifter.
- ABAC-stöd: Den här rollen stöder inte Microsoft Entra ABAC-villkor eftersom rollen är begränsad till registernivån, vilket ger behörighet att hantera alla ACR-uppgifter i registret.
Scenario: Användare av Visual Studio Code Docker-tillägget
- Roller: Container Registry Repository Writer, Container Registry Tasks Contributoroch Container Registry Contributor and Data Access Configuration Administrator
- Behörigheter: Beviljar funktioner för att bläddra bland register, hämta och push-överföra avbildningar och skapa avbildningar med hjälp av az acr build, stödja vanliga utvecklararbetsflöden i Visual Studio Code.
- ABAC-stöd: ACR rekommenderar att Visual Studio Code-användare har fullständig dataplansåtkomst till alla lagringsplatser i registret. Därför bör dessa roller tilldelas utan Microsoft Entra ABAC-villkor för att bevilja rollbehörigheter utan att omfångsanpassa dem till specifika lagringsplatser.

Scenario: Identiteter som behöver hämta avbildningar och validera artefakter i leveranskedjan, till exempel utvecklare, pipelines och containerorkestrerare (till exempel Kubelet-identitet för Azure Kubernetes Service-nod, Azure Container Apps, Azure Container Instances, Azure Machine Learning-arbetsytor)
- Roll: AcrPull
- Syfte: Ger skrivskyddad åtkomst för dataplanet för att hämta bilder och artefakter, visa taggar, lagringsplatser, OCI-referenser (Open Container Initiative) och konfigurationer för artefaktströmning. Innehåller inga styrplans- eller skrivbehörigheter.
Scenario: Identiteter som CI/CD-byggpipelines och utvecklare som skapar, överför avbildningar och hanterar avbildningstaggar
- Roll: AcrPush
- Behörigheter: Ger dataplanet åtkomst till push- och pull-bilder och artefakter, hanterar taggar, arbetar med OCI-refererare och konfigurerar artefaktströmning för lagringsplatser och bilder. Innehåller inga behörigheter för kontrollplanet.
Scenario: Pipelines, identiteter och utvecklare som signerar bilder
- För signering av bilder med OCI-refererare som Notary Project:
  - Roll: AcrPush
  - Behörigheter: Ger dataplanet åtkomst till push-signaturer i form av OCI-refererare som är kopplade till bilder och artefakter. Innehåller inga behörigheter för kontrollplanet.
- För signering av avbildningar med Docker Content Trust (DCT):
  - Roll: AcrImageSigner
  - Behörigheter: Signera avbildningar i registret med Docker Content Trust (DCT).
  - Obs! Docker Content Trust är inaktuellt.
Scenario: Pipelines, identiteter och utvecklare som behöver skapa, uppdatera eller ta bort ACR-register
- Roll: Container Registry Contributor and Data Access Configuration Administrator
- Behörigheter:
  - Ger kontrollplansåtkomst för att skapa, konfigurera, hantera och ta bort register, inklusive:
    - konfigurera register-SKU:er
    - inställningar för autentiseringsåtkomst (inloggningsuppgifter för administratörsanvändare, anonym pull, icke-Microsoft Entra-tokenbaserad lagringsplatsbehörighet och Microsoft Entra-autentisering som målgrupp för arm-token),
    - funktioner för hög tillgänglighet (geo-replikering, tillgänglighetszoner och zonredundans),
    - lokala funktioner (anslutna register),
    - registerslutpunkter (dedikerade dataslutpunkter)
    - nätverksåtkomst (privata länk- och privata slutpunktsinställningar, åtkomst till offentligt nätverk, förbikoppling av betrodda tjänster, brandväggsregler för nätverk och tjänstslutpunkter för virtuellt nätverk (VNET)
    - registerprinciper (kvarhållningsprincip, registeromfattande karantänaktivering, aktivering av mjuk borttagning och exportprincip för dataexfiltrering)
    - diagnostik- och övervakningsinställningar (diagnostikinställningar, loggar, mått, webhooks för register och geo-replikering och Event Grid)
    - hantera en systemtilldelad hanterad identitet för ett register
  - Obs! Den här rollen ger behörighet att ta bort själva registret.
  - Obs! Den här rollen omfattar inte dataplansåtgärder (till exempel push/pull-bild), rolltilldelningsfunktioner eller ACR-uppgift.
  - Obs! Om du vill hantera ett registers användartilldelade hanterade identitet måste den tilldelade personen också ha Managed Identity Operator rollen.
Scenario: Pipelines, infrastrukturtekniker eller verktyg för observabilitet/övervakning av styrplan som behöver lista register och visa registerkonfigurationer, men inte ha åtkomst till registerbilderna
- Roll: Container Registry Configuration Reader and Data Access Configuration Reader
- Behörigheter: Skrivskyddad motsvarighet till Container Registry Contributor and Data Access Configuration Administrator rollen. Ger kontrollplansåtkomst för att visa och lista register och inspektera registerkonfigurationer, men ändra dem inte. Inkluderar inte dataplanoperationer (till exempel push/pull av bilder) eller funktioner för rolltilldelning.
Scenario: Sårbarhetsskannrar och verktyg som behöver granska register och registerkonfigurationer samt åtkomst till registeravbildningar för att söka igenom dem efter sårbarheter
- Roller: AcrPull och Container Registry Configuration Reader and Data Access Configuration Reader
- Behörigheter: Ger åtkomst till kontrollplanet för att visa och lista ACR-register samt granska registerkonfigurationer för granskning och efterlevnad. Ger också behörighet att hämta bilder, artefakter och visa taggar för att genomsöka och analysera bilder efter säkerhetsrisker.
Scenario: Pipelines och identiteter som samordnar ACR-uppgifter
- Roll: Container Registry Tasks Contributor
- Behörigheter: Hantera ACR-uppgifter, inklusive uppgiftsdefinitioner och aktivitetskörningar, aktivitetsagentpooler, snabbversioner med az acr build och snabbkörningar med az acr runoch aktivitetsloggar. Innehåller inte behörigheter för dataplan eller bredare registerkonfiguration
- Obs! För att fullständigt hantera uppgiftsidentiteter måste den tilldelade personen ha Managed Identity Operator rollen.
Scenario: Identiteter såsom pipelines och utvecklare som importerar bilder med az acr import
- Roll: Container Registry Data Importer and Data Reader
- Behörigheter: Ger åtkomst till kontrollplanet för att utlösa avbildningsimporter med hjälp av az acr importoch dataplansåtkomst för att verifiera att importen lyckades (hämta importerade avbildningar och artefakter, visa lagringsplatsens innehåll, lista OCI-refererare och inspektera importerade taggar). Tillåter inte push-överföring eller ändring av innehåll i registret.
Scenario: Identiteter som pipelines och utvecklare som hanterar ACR-överföringspipelines för överföring av artefakter mellan register med mellanliggande lagringskonton över nätverks-, klient- eller luftspaltgränser
- Roll: Container Registry Transfer Pipeline Contributor
- Behörigheter: Ger kontrollplansåtkomst för att hantera ACR-import-/exportöverföringspipelines och pipelinekörningar med mellanliggande lagringskonton. Omfattar inte behörigheter för dataplan, bredare registeråtkomst eller behörigheter för att hantera andra Azure-resurstyper, till exempel lagringskonton eller nyckelvalv.
Scenario: Hantering av avbildningar i karantän
- Roller: AcrQuarantineReader och AcrQuarantineWriter
- Behörigheter: Hantera avbildningar i karantän i registret, inklusive att visa och hämta avbildningar i karantän för ytterligare kontroll och ändra karantänstatusen för avbildningar. Bilder som är i karantän är pushade bilder som inte kan hämtas eller användas förrän karantänen hävs.
Scenario: Ta bort bilder, artefakter, taggar och OCI-referenter
- Roll: AcrDelete
- Behörigheter: Ger behörighet att ta bort artefakter och taggar över alla lagringsplatser i registret. Den här rollen beviljar inte behörighet att ta bort själva registret.
Scenario: Utvecklare eller processer som konfigurerar automatisk rensning av register på ACR-uppgifter
- Roll: Container Registry Tasks Contributor
- Behörigheter: Ger styrnivåbehörigheter för att administrera automatisk rensning, som körs på ACR-uppgifter.
Scenario: Användare av Visual Studio Code Docker-tillägget
- Roller: AcrPush, Container Registry Tasks Contributoroch Container Registry Contributor and Data Access Configuration Administrator
- Behörigheter: Beviljar funktioner för att bläddra bland register, hämta och push-överföra avbildningar och skapa avbildningar med hjälp av az acr build, stödja vanliga utvecklararbetsflöden i Visual Studio Code.

Nästa steg

Information om hur du utför rolltilldelningar med valfria Microsoft Entra ABAC-villkor för att begränsa rolltilldelningar till specifika lagringsplatser finns i Microsoft Entra-baserade lagringsplatsbehörigheter.
En detaljerad referens för varje inbyggd ACR-roll, inklusive de behörigheter som beviljas av varje roll, finns i katalogreferensen för Azure Container Registry-roller.
Mer information om hur du skapar anpassade roller som uppfyller dina specifika behov och krav finns i Anpassade roller för Azure Container Registry.

Feedback

Var den här sidan till hjälp?