Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta página es un índice de Azure Policy definiciones de directiva integradas para Azure Container Registry. Para obtener más Azure Policy integrados para otros servicios, consulte Azure Policy definiciones integradas.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en el portal de Azure. Use el vínculo de la columna Version para ver el origen en el repositorio Azure Policy GitHub.
Azure Container Registry
| Nombre (Azure portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Container Registry debe redundante de zona. | Container Registry se puede configurar para que sea redundante de zona o no. Cuando la propiedad zoneRedundancy de una instancia de Container Registry se establece en "Disabled", significa que el registro no es redundante de zona. La aplicación de esta directiva ayuda a garantizar que Container Registry está configurado correctamente para la resistencia de zona, lo que reduce el riesgo de tiempo de inactividad durante las interrupciones de zona. | Auditar, Denegar, Deshabilitado | 1.0.0-preview |
| [Vista previa]: Container Registry debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de Container Registry no configurada para usar un punto de conexión del servicio de red virtual. | Auditar, Deshabilitado | 1.0.0-preview |
| Azure las imágenes de contenedor del registro deben tener vulnerabilidades resueltas (con tecnología de Administración de vulnerabilidades de Microsoft Defender) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. La resolución de vulnerabilidades puede mejorar considerablemente la posición de seguridad, lo que garantiza que las imágenes sean seguras para usarlas antes de la implementación. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Configure los registros de contenedor para deshabilitar la autenticación anónima. | Deshabilite la extracción anónima del registro para que el usuario no autenticado no pueda acceder a los datos. La deshabilitación de métodos de autenticación local como el usuario administrador, los tokens de acceso con ámbito del repositorio y la extracción anónima mejora la seguridad al garantizar que los registros de contenedor requieran exclusivamente Azure Active Directory identidades para la autenticación. Más información en: https://aka.ms/acr/authentication. | Modificar, Deshabilitado | 1.0.0 |
| Configure los registros de contenedor para deshabilitar la autenticación de token de audiencia de ARM. | Deshabilite Azure Active Directory tokens de audiencia de ARM para la autenticación en el registro. Solo se usarán tokens de audiencia de Azure Container Registry (ACR) para la autenticación. Esto garantizará que solo se puedan usar tokens destinados al uso en el registro para la autenticación. Deshabilitar los tokens de audiencia de ARM no afecta a la autenticación de los tokens de acceso de usuario administrador o de ámbito. Más información en: https://aka.ms/acr/authentication. | Modificar, Deshabilitado | 1.0.0 |
| Configure los registros de contenedor para deshabilitar la cuenta de administrador local. | Deshabilite la cuenta de administrador del registro para que el administrador local no pueda acceder a ella. La deshabilitación de métodos de autenticación local como el usuario administrador, los tokens de acceso con ámbito del repositorio y la extracción anónima mejora la seguridad al garantizar que los registros de contenedor requieran exclusivamente Azure Active Directory identidades para la autenticación. Más información en: https://aka.ms/acr/authentication. | Modificar, Deshabilitado | 1.0.1 |
| Configurar las instancias de Container Registry para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el recurso de Container Registry de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en https://aka.ms/acr/portal/public-network y https://aka.ms/acr/private-link. | Modificar, Deshabilitado | 1.0.0 |
| Configure los registros de contenedor para deshabilitar el token de acceso de ámbito de repositorio. | Deshabilite los tokens de acceso de ámbito de repositorio para el registro para que los tokens no puedan acceder a los repositorios. La deshabilitación de métodos de autenticación local como el usuario administrador, los tokens de acceso con ámbito del repositorio y la extracción anónima mejora la seguridad al garantizar que los registros de contenedor requieran exclusivamente Azure Active Directory identidades para la autenticación. Más información en: https://aka.ms/acr/authentication. | Modificar, Deshabilitado | 1.0.0 |
| Configurar las instancias de Container Registry con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. Al asignar puntos de conexión privados a los recursos del registro de contenedor prémium, puede reducir los riesgos de pérdida de datos. Más información en https://aka.ms/privateendpoints y https://aka.ms/acr/private-link. | DeployIfNotExists, deshabilitado | 1.0.0 |
| Los registros de contenedor deben cifrarse con una clave administrada por el cliente | Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de los registros. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada y propiedad de usted. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/acr/CMK. | Auditar, Denegar, Deshabilitado | 1.1.2 |
| Los registros de contenedor deben tener deshabilitada la autenticación anónima. | Deshabilite la extracción anónima del registro para que los usuarios no autenticados no puedan acceder a los datos. La deshabilitación de métodos de autenticación local como el usuario administrador, los tokens de acceso con ámbito del repositorio y la extracción anónima mejora la seguridad al garantizar que los registros de contenedor requieran exclusivamente Azure Active Directory identidades para la autenticación. Más información en: https://aka.ms/acr/authentication. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Los registros de contenedor deberían tener deshabilitada la autenticación de token de audiencia de ARM. | Deshabilite Azure Active Directory tokens de audiencia de ARM para la autenticación en el registro. Solo se usarán tokens de audiencia de Azure Container Registry (ACR) para la autenticación. Esto garantizará que solo se puedan usar tokens destinados al uso en el registro para la autenticación. Deshabilitar los tokens de audiencia de ARM no afecta a la autenticación de los tokens de acceso de usuario administrador o de ámbito. Más información en: https://aka.ms/acr/authentication. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Los registros de contenedor deben tener las exportaciones deshabilitadas | Deshabilitar las exportaciones mejora la seguridad al garantizar que se accede a los datos de un registro únicamente a través del plano de datos ("docker pull"). Los datos no se pueden mover fuera del registro a través de "acr import" o a través de "acr transfer". Para deshabilitar las exportaciones, se debe deshabilitar el acceso a la red pública. Más información en: https://aka.ms/acr/export-policy. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Los registros de contenedor deben tener deshabilitada la cuenta de administrador local. | Deshabilite la cuenta de administrador del registro para que el administrador local no pueda acceder a ella. La deshabilitación de métodos de autenticación local como el usuario administrador, los tokens de acceso con ámbito del repositorio y la extracción anónima mejora la seguridad al garantizar que los registros de contenedor requieran exclusivamente Azure Active Directory identidades para la autenticación. Más información en: https://aka.ms/acr/authentication. | Auditar, Denegar, Deshabilitado | 1.0.1 |
| Los registros de contenedor deben tener deshabilitado el token de acceso de ámbito de repositorio. | Deshabilite los tokens de acceso de ámbito de repositorio para el registro para que los tokens no puedan acceder a los repositorios. La deshabilitación de métodos de autenticación local como el usuario administrador, los tokens de acceso con ámbito del repositorio y la extracción anónima mejora la seguridad al garantizar que los registros de contenedor requieran exclusivamente Azure Active Directory identidades para la autenticación. Más información en: https://aka.ms/acr/authentication. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Las instancias de Container Registry deben tener SKU que admitan vínculos privados | Azure Private Link permite conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma private link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los registros de contenedor en lugar de a todo el servicio, se reducen los riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Las instancias de Container Registry no deben permitir el acceso de red sin restricciones | Azure registros de contenedor de forma predeterminada aceptan conexiones a través de Internet desde hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. | Auditar, Denegar, Deshabilitado | 2.0.0 |
| Los registros de contenedor deben impedir la creación de reglas de caché | Deshabilite la creación de reglas de caché para la Azure Container Registry para evitar la extracción a través de las extracción de caché. Más información en: https://aka.ms/acr/cache. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Las instancias de Container Registry deben usar Private Link | Azure Private Link permite conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma private link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los registros de contenedor en lugar de todo el servicio, también se protegerá contra los riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. | Auditar, Deshabilitado | 1.0.1 |
| Container Registry debe restringir los puntos de conexión privados externos. | Esta política se aplica exclusivamente a los productos y servicios de Mission Platform; no se admite el uso fuera de estos ámbitos. Bloquea la aprobación de conexiones de punto de conexión privado a Registros de contenedor desde suscripciones fuera del inquilino de misión (a menos que se excluya explícitamente) para conservar los límites del enclave y reducir el riesgo de exposición de datos. Obtenga más información en https://learn.microsoft.com/azure/container-registry/container-registry-private-link. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Habilitación del registro por grupo de categorías para los registros de contenedor (microsoft.containerregistry/registries) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para los registros de contenedor (microsoft.containerregistry/registries). | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.2.0 |
| Enable registro por grupo de categorías para registros de contenedor (microsoft.containerregistry/registries) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los registros de contenedor (microsoft.containerregistry/registries). | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.1.0 |
| Habilitación del registro por grupo de categorías para los registros de contenedor (microsoft.containerregistry/registries) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los registros de contenedor (microsoft.containerregistry/registries). | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.1.0 |
| El acceso a la red pública debe estar deshabilitado en las instancias de Container Registry | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que los registros de contenedor no se exponen en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de los recursos del registro de contenedor. Más información en https://aka.ms/acr/portal/public-network y https://aka.ms/acr/private-link. | Auditar, Denegar, Deshabilitado | 1.0.0 |
Pasos siguientes
- Consulte las instrucciones para asignar directivas y revisar el cumplimiento.
- Consulte los componentes integrados en el repositorio Azure Policy GitHub.
- Revise la estructura de definición Azure Policy.
- Vea la Descripción de los efectos de directivas.