将私有 Azure Docker 注册中心的 Pull-Only 权限授予第三方的最安全方式
Safest way to give Pull-Only rights to a third party for your private Azure Docker Registry
我们在我们的 Azure 帐户下创建了一个私有注册表,现在正试图让一些第三方临时(1 个月或 1 年)使用这些图像。
在不暴露任何其他信息的情况下,仅向第三方提供 AcrPull 权限的安全方法是什么?我们正在尝试具有 AcrPull 权限的服务主体,但它们似乎内置了多个角色。我想确认持有这些帐户的人除了注册表中的图像之外无法访问我们的任何公司数据。
有没有更好的方法来完成这个?
在该注册表范围内仅向服务主体授予 AcrPull 权限是安全的,因为内置 Azure [=11] 中只有一个操作 Microsoft.ContainerRegistry/registries/pull/read =].如果您不为该服务主体分配任何其他多个角色,则不会内置多个角色。
您还可以创建 custom roles 对 Azure 容器注册表具有细粒度的权限。然后将自定义角色分配给需要与注册表交互的用户、服务主体或其他身份。
有关详细信息,请阅读 Azure Container Registry roles and permissions。
我们在我们的 Azure 帐户下创建了一个私有注册表,现在正试图让一些第三方临时(1 个月或 1 年)使用这些图像。
在不暴露任何其他信息的情况下,仅向第三方提供 AcrPull 权限的安全方法是什么?我们正在尝试具有 AcrPull 权限的服务主体,但它们似乎内置了多个角色。我想确认持有这些帐户的人除了注册表中的图像之外无法访问我们的任何公司数据。
有没有更好的方法来完成这个?
在该注册表范围内仅向服务主体授予 AcrPull 权限是安全的,因为内置 Azure [=11] 中只有一个操作 Microsoft.ContainerRegistry/registries/pull/read =].如果您不为该服务主体分配任何其他多个角色,则不会内置多个角色。
您还可以创建 custom roles 对 Azure 容器注册表具有细粒度的权限。然后将自定义角色分配给需要与注册表交互的用户、服务主体或其他身份。
有关详细信息,请阅读 Azure Container Registry roles and permissions。