Azure Container Registry ロールのディレクトリ リファレンス

コンテナー レジストリ共同作成者およびデータ アクセス構成管理者

• ユース ケース: イメージをプッシュ/プルしたりロールを割り当てたりするためのアクセス許可を必要とせずに、レジストリの作成と構成、レジストリ認証メカニズムの設定、レジストリ ネットワーク アクセスの管理、レジストリ ポリシーの管理を行う必要があるレジストリ管理者、CI/CD パイプライン、または自動化されたプロセスに最適です。
• アクセス許可: 認証設定、トークン、プライベート エンドポイント、ネットワーク アクセス、レジストリ ポリシーなど、レジストリとレジストリ構成を作成、構成、管理するためのコントロール プレーン アクセスを許可します。 データ プレーン操作 (画像のプッシュ/プルなど) やロールの割り当て機能は含まれません。
  • コントロール プレーンのアクセス許可:
    • レジストリの作成、更新、表示、一覧表示、削除 ( レジストリ SKU 、 可用性ゾーン、ゾーン冗長性を含む)
    • レジストリのロールの割り当てを表示および一覧表示する (管理しない)
    • ジオレプリケーション管理
    • 接続されているレジストリを管理する
    • レジストリ構成を更新する
      • レジストリの システム割り当てマネージド ID を構成します。 注: レジストリのユーザー割り当てマネージド ID を管理するには、個別の Managed Identity Operator ロールが必要です。
      • ネットワーク アクセス設定 (パブリック ネットワーク アクセス、 信頼されたサービス バイパス、 ネットワーク ファイアウォール規則、 専用データ エンドポイント、 仮想ネットワーク (VNET) サービス エンドポイント) を構成する
      • プライベート エンドポイント設定の構成 (プライベート エンドポイント接続とプライベート リンク リソースの設定、承認、拒否、一覧表示)
      • 認証アクセス設定を構成する (管理者ユーザー ログイン資格情報、 匿名プル、 Microsoft Entra 以外のトークン ベースのリポジトリのアクセス許可、 Microsoft Entra authentication-as-arm トークンの対象ユーザー)
      • レジストリ ポリシーの構成 (保管ポリシー、レジストリ全体の検疫有効化、ソフト削除の有効化、データ流出エクスポートポリシーの有効化)
    • レジストリ の診断と監視の設定 (診断設定、ログ、メトリック、 レジストリと geo レプリケーション用の Webhook、 および Event Grid) を構成する
  • データ プレーンのアクセス許可:
    • 無し

コンテナー レジストリ構成閲覧者とデータ アクセス構成閲覧者

• ユース ケース: イメージをプッシュ/プルしたりロールを割り当てたりするためのアクセス許可を必要とせずに、レジストリの表示、レジストリ認証メカニズムの監査、レジストリ ネットワーク アクセス構成の監査、レジストリ ポリシーの表示のみを行う監査者、監視システム、脆弱性スキャナーに最適です。
• アクセス許可: 認証設定、トークン、プライベート エンドポイント、ネットワーク アクセス、レジストリ ポリシーなど、レジストリとレジストリ構成を表示および一覧表示するためのコントロール プレーン アクセスを許可します。 データ プレーン操作 (画像のプッシュ/プルなど) やロールの割り当て機能は含まれません。
  • コントロール プレーンのアクセス許可:
    • レジストリの表示と一覧表示 ( レジストリ SKU と 可用性ゾーン、ゾーンの冗長性を含む)
    • レジストリのロールの割り当てを表示および一覧表示する (管理しない)
    • geo を表示および一覧表示する
    • 接続されているレジストリの表示と一覧表示
    • レジストリ構成の表示
      • レジストリのシステム割り当てマネージド ID とユーザー割り当てマネージド ID の両方を表示および一覧表示する
      • ネットワーク アクセス設定 (パブリック ネットワーク アクセス、 信頼されたサービス バイパス、 ネットワーク ファイアウォール規則、 専用データ エンドポイント、 仮想ネットワーク (VNET) サービス エンドポイント) の表示と一覧表示
      • プライベート エンドポイント設定の表示と一覧表示 (プライベート エンドポイント接続とプライベート リンク リソースの設定、承認、拒否、一覧表示)
      • 認証アクセス設定の表示と一覧表示 (管理者ユーザー ログイン資格情報、 匿名プル、 Microsoft Entra 以外のトークン ベースのリポジトリのアクセス許可、 Microsoft Entra authentication-as-arm トークンの対象ユーザー)
      • レジストリ ポリシーの表示と一覧 ( アイテム保持ポリシー、 レジストリ全体の検疫有効化状態、 ソフト削除の有効化、 データ流出エクスポート ポリシーを構成する)
    • レジストリ の診断と監視の設定 (診断設定、ログ、メトリック、 レジストリと geo レプリケーション用の Webhook、 および Event Grid) を構成する
  • データ プレーンのアクセス許可:
    • 無し

Container Registry タスク共同作成者

• ユース ケース: 他のレジストリ操作やイメージ データにアクセスせずに ACR タスクやタスク関連リソースを管理する必要がある ID (CI/CD パイプラインや自動化ツールなど) に割り当てます。
• アクセス許可: タスク定義、実行、タスク エージェント プール、クイック タスク (を使用したクイック ビルド、az acr buildを使用したaz acr run)、タスク ログ、タスク ID など、ACR タスクを管理するためのコントロール プレーン アクセスを許可します。 データ プレーンのアクセス許可や、タスク以外のレジストリ構成へのアクセスは含まれません。
  • コントロール プレーンのアクセス許可:
    • ACR タスク、タスク実行、タスク エージェント プール、クイック タスク (az acr buildを使用したクイック ビルドとaz acr runを使用したクイック実行)、タスク ログ、タスク ID の管理
      • ACR タスクのシステム割り当てマネージド ID を構成するためのアクセス許可を付与します。 注: ACR タスクのユーザー割り当てマネージド ID を管理するには、個別の Managed Identity Operator ロールが必要です。
      • ACR タスクの自動消去を管理するアクセス許可を付与します
      • ABAC 対応レジストリの場合、ACR タスク、クイック ビルド、クイック実行には、リポジトリ内のイメージとタグをプッシュ、プル、または削除するための既定のデータ プレーンアクセス許可がありません。 ACR タスク、クイック タスク、クイック ビルド、クイック実行に対する ABAC の有効化の効果を確認します。
        • ABAC 対応レジストリに属する ACR タスクは、データ プレーン操作を実行するために、タスク ID に割り当てられた Container Registry Repository Reader/Writer/Contributor ロールと Container Registry Repository Catalog Lister ロールを持っている必要があります。
        • クイック ビルドとクイック実行の場合、データ プレーン操作を実行するには、クイック タスクを呼び出す ID (呼び出し元) に Container Registry Repository Reader/Writer/Contributor ロールと Container Registry Repository Catalog Lister ロールが割り当てられている必要があります。
  • データ プレーンのアクセス許可:
    • 無し

コンテナー レジストリ転送パイプライン共同作成者

• ユース ケース: ネットワーク、テナント、またはエア ギャップの境界を越えて成果物を移動するために ACR 転送パイプライン を管理する必要がある CI/CD パイプラインまたは自動化プロセスに割り当てます。 このロールは、分離された環境をブリッジするために、転送が中間 Azure Storage アカウントを通過する必要がある場合に最適です。
• アクセス許可: 中間ストレージ アカウントを使用して ACR インポート/エクスポート転送パイプライン を構成および操作するためのコントロール プレーン アクセスを許可します。これにより、切断された環境またはセグメント化された環境間での安全なアーティファクト転送が可能になります。 データ プレーンのアクセス許可、より広範なレジストリ アクセス、ストレージ アカウントやキー コンテナーなどの他の Azure リソースの種類を管理するためのアクセス許可は含まれません。
  • コントロール プレーンのアクセス許可:
    • ネットワーク、テナント、またはエアギャップの境界を越えた中間ストレージ アカウント (インポート パイプライン、エクスポート パイプライン、インポート/エクスポート パイプラインの実行) を使用して、レジストリ間で成果物を転送するための ACR 転送パイプラインを管理します。
  • データ プレーンのアクセス許可:
    • 無し

Container Registry Data Importer と Data Reader

• ユース ケース: az acr importを使用して他のレジストリからイメージをインポートする必要がある ID (CI/CD パイプラインなど) に割り当てます。 このロールにより、レジストリ内のイメージと成果物を読み取って、インポート操作の成功を検証することもできます。
• アクセス許可: az acr importを使用してイメージのインポートをトリガーするためのコントロール プレーン アクセスと、イメージと成果物のプル、リポジトリの内容の表示、Open Container Initiative (OCI) 参照元、タグ、成果物ストリーミング構成へのデータ プレーン アクセスを許可します。 レジストリ内のコンテンツのプッシュまたは変更を許可しません。
  • コントロール プレーンのアクセス許可:
    • az acr importを使用して ACR イメージのインポートをトリガーする
  • データ プレーンのアクセス許可:
    • レジストリ内のリポジトリ内のイメージと成果物をプルする
    • OCI 参照元成果物の表示と一覧表示
    • 画像とアーティファクトのメタデータ (タグなど) を表示および一覧表示する
    • レジストリ内のリポジトリ (イメージ名) の表示と一覧表示
    • リポジトリとイメージの アーティファクト ストリーミング 構成の表示 (自動アーティファクト ストリーミング変換のリポジトリ ポリシーの表示、イメージのアーティファクト ストリーミング構成の表示など)

コンテナー レジストリ共同作成者およびデータ アクセス構成管理者

• ユース ケース: イメージをプッシュ/プルしたりロールを割り当てたりするためのアクセス許可を必要とせずに、レジストリの作成と構成、レジストリ認証メカニズムの設定、レジストリ ネットワーク アクセスの管理、レジストリ ポリシーの管理を行う必要があるレジストリ管理者、CI/CD パイプライン、または自動化されたプロセスに最適です。
• アクセス許可: 認証設定、トークン、プライベート エンドポイント、ネットワーク アクセス、レジストリ ポリシーなど、レジストリとレジストリ構成を作成、構成、管理するためのコントロール プレーン アクセスを許可します。 データ プレーン操作 (画像のプッシュ/プルなど) やロールの割り当て機能は含まれません。
  • コントロール プレーンのアクセス許可:
    • レジストリの作成、更新、表示、一覧表示、削除 ( レジストリ SKU 、 可用性ゾーン、ゾーン冗長性を含む)
    • レジストリのロールの割り当てを表示および一覧表示する (管理しない)
    • ジオレプリケーション管理
    • 接続されているレジストリを管理する
    • レジストリ構成を更新する
      • レジストリの システム割り当てマネージド ID を構成します。 注: レジストリのユーザー割り当てマネージド ID を管理するには、個別の Managed Identity Operator ロールが必要です。
      • ネットワーク アクセス設定 (パブリック ネットワーク アクセス、 信頼されたサービス バイパス、 ネットワーク ファイアウォール規則、 専用データ エンドポイント、 仮想ネットワーク (VNET) サービス エンドポイント) を構成する
      • プライベート エンドポイント設定の構成 (プライベート エンドポイント接続とプライベート リンク リソースの設定、承認、拒否、一覧表示)
      • 認証アクセス設定を構成する (管理者ユーザー ログイン資格情報、 匿名プル、 Entra 以外のトークン ベースのリポジトリのアクセス許可、 Entra authentication-as-arm トークンの対象ユーザー)
      • レジストリ ポリシーの構成 (保管ポリシー、レジストリ全体の検疫有効化、ソフト削除の有効化、データ流出エクスポートポリシーの有効化)
    • レジストリ の診断と監視の設定 (診断設定、ログ、メトリック、 レジストリと geo レプリケーション用の Webhook、 および Event Grid) を構成する
  • データ プレーンのアクセス許可:
    • 無し

コンテナー レジストリ構成閲覧者とデータ アクセス構成閲覧者

• ユース ケース: イメージをプッシュ/プルしたりロールを割り当てたりするためのアクセス許可を必要とせずに、レジストリの表示、レジストリ認証メカニズムの監査、レジストリ ネットワーク アクセス構成の監査、レジストリ ポリシーの表示のみを行う監査者、監視システム、脆弱性スキャナーに最適です。
• アクセス許可: 認証設定、トークン、プライベート エンドポイント、ネットワーク アクセス、レジストリ ポリシーなど、レジストリとレジストリ構成を表示および一覧表示するためのコントロール プレーン アクセスを許可します。 データ プレーン操作 (画像のプッシュ/プルなど) やロールの割り当て機能は含まれません。
  • コントロール プレーンのアクセス許可:
    • レジストリの表示と一覧表示 ( レジストリ SKU と 可用性ゾーン、ゾーンの冗長性を含む)
    • レジストリのロールの割り当てを表示および一覧表示する (管理しない)
    • geo を表示および一覧表示する
    • 接続されているレジストリの表示と一覧表示
    • レジストリ構成の表示
      • レジストリのシステム割り当てマネージド ID とユーザー割り当てマネージド ID の両方を表示および一覧表示する
      • ネットワーク アクセス設定 (パブリック ネットワーク アクセス、 信頼されたサービス バイパス、 ネットワーク ファイアウォール規則、 専用データ エンドポイント、 仮想ネットワーク (VNET) サービス エンドポイント) の表示と一覧表示
      • プライベート エンドポイント設定の表示と一覧表示 (プライベート エンドポイント接続とプライベート リンク リソースの設定、承認、拒否、一覧表示)
      • 認証アクセス設定の表示と一覧表示 (管理者ユーザー ログイン資格情報、 匿名プル、 Entra 以外のトークン ベースのリポジトリのアクセス許可、 Entra authentication-as-arm トークンの対象ユーザー)
      • レジストリ ポリシーの表示と一覧 ( アイテム保持ポリシー、 レジストリ全体の検疫有効化状態、 ソフト削除の有効化、 データ流出エクスポート ポリシーを構成する)
    • レジストリ の診断と監視の設定 (診断設定、ログ、メトリック、 レジストリと geo レプリケーション用の Webhook、 および Event Grid) を構成する
  • データ プレーンのアクセス許可:
    • 無し

Container Registry タスク共同作成者

• ユース ケース: 他のレジストリ操作やイメージ データにアクセスせずに ACR タスクやタスク関連リソースを管理する必要がある ID (CI/CD パイプラインや自動化ツールなど) に割り当てます。
• アクセス許可: タスク定義、実行、タスク エージェント プール、クイック タスク (を使用したクイック ビルド、az acr buildを使用したaz acr run)、タスク ログ、タスク ID など、ACR タスクを管理するためのコントロール プレーン アクセスを許可します。 データ プレーンのアクセス許可や、タスク以外のレジストリ構成へのアクセスは含まれません。
  • コントロール プレーンのアクセス許可:
    • ACR タスク、タスク実行、タスク エージェント プール、クイック タスク (az acr buildを使用したクイック ビルドとaz acr runを使用したクイック実行)、タスク ログ、タスク ID の管理
      • ACR タスクのシステム割り当てマネージド ID を構成します。 注: ACR タスクのユーザー割り当てマネージド ID を管理するには、個別の Managed Identity Operator ロールが必要です。
      • ACR タスクでの自動消去の管理
  • データ プレーンのアクセス許可:
    • 無し

コンテナー レジストリ転送パイプライン共同作成者

• ユース ケース: ネットワーク、テナント、またはエア ギャップの境界を越えて成果物を移動するために ACR 転送パイプライン を管理する必要がある CI/CD パイプラインまたは自動化プロセスに割り当てます。 このロールは、分離された環境をブリッジするために、転送が中間 Azure Storage アカウントを通過する必要がある場合に最適です。
• アクセス許可: 中間ストレージ アカウントを使用して ACR インポート/エクスポート転送パイプライン を構成および操作するためのコントロール プレーン アクセスを許可します。これにより、切断された環境またはセグメント化された環境間での安全なアーティファクト転送が可能になります。 データ プレーンのアクセス許可、より広範なレジストリ アクセス、ストレージ アカウントやキー コンテナーなどの他の Azure リソースの種類を管理するためのアクセス許可は含まれません。
  • コントロール プレーンのアクセス許可:
    • ネットワーク、テナント、またはエアギャップの境界を越えた中間ストレージ アカウント (インポート パイプライン、エクスポート パイプライン、インポート/エクスポート パイプラインの実行) を使用して、レジストリ間で成果物を転送するための ACR 転送パイプラインを管理します。
  • データ プレーンのアクセス許可:
    • 無し

Container Registry Data Importer と Data Reader

• ユース ケース: az acr importを使用して他のレジストリからイメージをインポートする必要がある ID (CI/CD パイプラインなど) に割り当てます。 このロールにより、レジストリ内のイメージと成果物を読み取って、インポート操作の成功を検証することもできます。
• アクセス許可: az acr importを使用してイメージのインポートをトリガーするためのコントロール プレーン アクセスと、イメージと成果物のプル、リポジトリの内容の表示、Open Container Initiative (OCI) 参照元、タグ、成果物ストリーミング構成へのデータ プレーン アクセスを許可します。 レジストリ内のコンテンツのプッシュまたは変更を許可しません。
  • コントロール プレーンのアクセス許可:
    • az acr importを使用して ACR イメージのインポートをトリガーする
  • データ プレーンのアクセス許可:
    • レジストリ内のリポジトリ内のイメージと成果物をプルする
    • OCI 参照元成果物の表示と一覧表示
    • 画像とアーティファクトのメタデータ (タグなど) を表示および一覧表示する
    • レジストリ内のリポジトリ (イメージ名) の表示と一覧表示
    • リポジトリとイメージの アーティファクト ストリーミング 構成の表示 (自動アーティファクト ストリーミング変換のリポジトリ ポリシーの表示、イメージのアーティファクト ストリーミング構成の表示など)

コンテナレジストリリポジトリリーダー

• ユース ケース: コンテナー ホスト ノード、オーケストレーター、脆弱性スキャナー、または開発者に割り当てます。イメージのプルとリポジトリ メタデータの読み取りのみが必要です。コンテンツをプッシュまたは変更するアクセス許可はありません。
• アクセス許可: プル イメージと成果物、ビュー タグ、リポジトリ、Open Container Initiative (OCI) 参照元、成果物ストリーミング構成へのデータ プレーン読み取り専用アクセスを許可します。 コントロール プレーンまたは書き込み権限は含まれません。
  • コントロール プレーンのアクセス許可:
    • 無し
  • データ プレーンのアクセス許可:
    • レジストリ内のリポジトリ内のイメージと成果物をプルする
    • OCI 参照元成果物の表示と一覧表示
    • 画像とアーティファクトのメタデータ (タグなど) を表示および一覧表示する
    • レジストリ内のリポジトリ (イメージ名) の表示と一覧表示
    • リポジトリとイメージの アーティファクト ストリーミング 構成の表示 (自動アーティファクト ストリーミング変換のリポジトリ ポリシーの表示、イメージのアーティファクト ストリーミング構成の表示など)
    • リポジトリ カタログ リストのアクセス許可は付与されません。
  • ABAC サポート: ロールの割り当てを特定のリポジトリにスコープ設定するためのオプションの Microsoft Entra ABAC 条件をサポートします。

コンテナー レジストリ リポジトリ ライター

• ユース ケース: レジストリの構成や設定を制御することなく、コンテナー イメージのプッシュとプル、タグの管理、成果物の操作を行う必要がある CI/CD パイプライン、自動化ツール、または開発者に割り当てます。 また、信頼できるサプライ チェーンの一部としてイメージに署名する自動化されたプロセスまたはサービスにも割り当てます。
• アクセス許可: データ プレーンに、イメージと成果物のプッシュとプル、タグの読み取り/管理、OCI 参照元の読み取り/管理、リポジトリとイメージのアーティファクト ストリーミングの有効化 (無効ではない) を許可します。 コントロール プレーンのアクセス許可は含まれません。
  • コントロール プレーンのアクセス許可:
    • 無し
  • データ プレーンのアクセス許可:
    • レジストリ内のリポジトリ内のイメージと成果物をプッシュおよびプルする
    • OCI 参照元成果物を作成、表示、および一覧表示する
    • タグ (タグの作成、読み取り、一覧表示、再タグ付け、タグのタグ解除) などの画像と成果物のメタデータを管理する
    • レジストリ内のリポジトリ (イメージ名) の表示と一覧表示
    • リポジトリとイメージの アーティファクト ストリーミング を構成する (アーティファクト ストリーミングの自動変換用にリポジトリ ポリシーを設定する、特定のイメージのアーティファクト ストリーミング変換を有効にする (ただし無効にしない) など)
    • リポジトリ カタログ リストのアクセス許可は付与されません。
  • ABAC サポート: ロールの割り当てを特定のリポジトリにスコープ設定するためのオプションの Microsoft Entra ABAC 条件をサポートします。

コンテナレジストリリポジトリの寄稿者

• ユース ケース: イメージのライフサイクルとクリーンアップの管理を担当する ID またはサービスに割り当てます。
• アクセス許可: イメージ と成果物の読み取り、書き込み、更新、削除 、タグの読み取り/管理/削除、OCI 参照元の読み取り/管理/削除、リポジトリとイメージの成果物ストリーミングの有効化/無効化を行うアクセス許可を付与します。 コントロール プレーンのアクセス許可は含まれません。
  • コントロール プレーンのアクセス許可:
    • 無し
  • データ プレーンのアクセス許可:
    • レジストリ内のリポジトリを操作し、イメージやアーティファクトをプッシュ、プル、削除します。
    • OCI 参照元成果物の作成、表示、一覧表示、削除
    • タグ (タグの作成、読み取り、一覧表示、再タグ付け、タグのアンタグ、削除) などの画像と成果物のメタデータを管理および削除する
    • レジストリ内のリポジトリ (イメージ名) の表示と一覧表示
    • リポジトリとイメージの アーティファクト ストリーミング を構成する (アーティファクト ストリーミングの自動変換のためのリポジトリ ポリシーの設定、特定のイメージのアーティファクト ストリーミング変換の有効化/無効化 など)
    • リポジトリ カタログ リストのアクセス許可は付与されません。
  • ABAC サポート: ロールの割り当てを特定のリポジトリにスコープ設定するためのオプションの Microsoft Entra ABAC 条件をサポートします。

コンテナ・レジストリ・リポジトリ・カタログ・リスター

• ユース ケース: CI/CD パイプライン、開発者、脆弱性スキャナー、レジストリ監視および監査ツールなど、レジストリ 内のすべてのリポジトリを一覧表示 する必要がある ID またはサービスに割り当てます。
• アクセス許可: レジストリ 内のすべてのリポジトリを一覧表示 するためのデータ プレーン アクセスを許可します。 コントロール プレーンのアクセス許可やイメージをプッシュ/プルするためのアクセス許可は含まれません。
  • コントロール プレーンのアクセス許可:
    • 無し
  • データ プレーンのアクセス許可:
    • レジストリ内のすべてのリポジトリ (イメージ名) を一覧表示する
    • レジストリ内のすべてのリポジトリを一覧表示するために、 {loginServerURL}/acr/v1/_catalog または {loginServerURL}/v2/_catalog レジストリ API エンドポイントを呼び出すアクセス許可を付与します。
    • リポジトリ内のイメージ、成果物、タグ、または OCI 参照元を表示または一覧表示するアクセス許可は付与されません。
  • ABAC のサポート: このロール は Entra ABAC 条件をサポートしていません。 そのため、このロールの割り当てにより、レジストリ 内のすべてのリポジトリを一覧表示するアクセス許可が付与 されます。

アクルクアランティーンライター

• ユース ケース: CI/CD パイプラインや脆弱性スキャナーなど、検疫されたイメージを管理する自動化されたプロセスまたはサービスに割り当てます。
• アクセス許可: レジストリ内の検疫済みイメージを管理します。
  • コントロール プレーンのアクセス許可:
    • 無し
  • データ プレーンのアクセス許可:
    • 検疫された成果物の管理 (検疫された成果物の一覧表示と読み取り、アーティファクト検疫の状態の変更)
  • ABAC サポート: Microsoft Entra ABAC 条件はサポートされていません。

AcrQuarantineReader

• ユース ケース: CI/CD パイプラインや脆弱性スキャナーなど、検疫されたイメージを一覧表示、読み取り、プルする自動化されたプロセスまたはサービスに割り当てます。
• アクセス許可: レジストリ内の検疫済みイメージを一覧表示、読み取り、プルします。
  • コントロール プレーンのアクセス許可:
    • 無し
  • データ プレーンのアクセス許可:
    • 検疫された成果物の表示と一覧表示 (管理は行わない)
  • ABAC サポート: Microsoft Entra ABAC 条件はサポートされていません。

AcrPush

• ユース ケース: レジストリの構成や設定を制御することなく、コンテナー イメージのプッシュとプル、タグの管理、成果物の操作を行う必要がある CI/CD パイプライン、自動化ツール、または開発者に割り当てます。
• アクセス許可: イメージと成果物のプッシュとプル、タグの管理、OCI 参照元の操作、リポジトリとイメージのアーティファクト ストリーミングの構成に対するデータ プレーン アクセスを許可します。 コントロール プレーンのアクセス許可は含まれません。
  • コントロール プレーンのアクセス許可:
    • 無し
  • データ プレーンのアクセス許可:
    • レジストリ内のリポジトリ内のイメージと成果物をプッシュおよびプルする
    • OCI 参照元成果物の作成、表示、一覧表示、削除
    • タグ (タグの作成、読み取り、一覧表示、再タグ付け、タグのタグ解除) などの画像と成果物のメタデータを管理する
    • レジストリ内のリポジトリ (イメージ名) の表示と一覧表示
    • リポジトリとイメージの アーティファクト ストリーミング を構成する (アーティファクト ストリーミングの自動変換用にリポジトリ ポリシーを設定する、特定のイメージのアーティファクト ストリーミング変換を有効にする (ただし無効にしない) など)

AcrPull

• ユース ケース: コンテナー ホスト ノード、オーケストレーター、脆弱性スキャナー、または開発者に割り当てます。イメージのプルとリポジトリ メタデータの読み取りのみが必要です。コンテンツをプッシュまたは変更するアクセス許可はありません。
• アクセス許可: プル イメージと成果物、ビュー タグ、リポジトリ、OCI 参照元、成果物ストリーミング構成へのデータ プレーン読み取り専用アクセスを許可します。 コントロール プレーンまたは書き込み権限は含まれません。
  • コントロール プレーンのアクセス許可:
    • 無し
  • データ プレーンのアクセス許可:
    • レジストリ内のリポジトリ内のイメージと成果物をプルする
    • OCI 参照元成果物の表示と一覧表示
    • 画像とアーティファクトのメタデータ (タグなど) を表示および一覧表示する
    • レジストリ内のリポジトリ (イメージ名) の表示と一覧表示
    • リポジトリとイメージの アーティファクト ストリーミング 構成の表示 (自動アーティファクト ストリーミング変換のリポジトリ ポリシーの表示、イメージのアーティファクト ストリーミング構成の表示など)

AcrDelete

• ユース ケース: イメージのライフサイクルとクリーンアップの管理を担当する ID またはサービスに割り当てます。
• アクセス許可: レジストリ内の成果物とタグを削除します。
  • コントロール プレーンのアクセス許可:
    • 無し
  • データ プレーンのアクセス許可:
    • イメージ、アーティファクト、ダイジェスト、タグを削除する
    • イメージのストリーミング OCI 参照元成果物を削除して、特定のイメージの成果物ストリーミングサポートを無効にする

AcrImageSigner

• ユース ケース: CI/CD パイプラインなど、信頼できるサプライ チェーンの一部としてイメージに署名する自動化されたプロセスまたはサービスに割り当てます。
• アクセス許可: Docker Content Trust (DCT) を使用してレジストリ内のイメージに署名します。 Docker コンテンツ信頼は 非推奨になっていることに注意してください。
  • コントロール プレーンのアクセス許可:
    • 無し
  • データ プレーンのアクセス許可:
    • Docker Content Trust (DCT) を使用してコンテナー イメージに署名する

アクルクアランティーンライター

• ユース ケース: CI/CD パイプラインや脆弱性スキャナーなど、検疫されたイメージを管理する自動化されたプロセスまたはサービスに割り当てます。
• アクセス許可: レジストリ内の検疫済みイメージを管理します。
  • コントロール プレーンのアクセス許可:
    • 無し
  • データ プレーンのアクセス許可:
    • 検疫された成果物の管理 (検疫された成果物の一覧表示と読み取り、アーティファクト検疫の状態の変更)

AcrQuarantineReader

• ユース ケース: CI/CD パイプラインや脆弱性スキャナーなど、検疫されたイメージを一覧表示、読み取り、プルする自動化されたプロセスまたはサービスに割り当てます。
• アクセス許可: レジストリ内の検疫済みイメージを一覧表示、読み取り、プルします。
  • コントロール プレーンのアクセス許可:
    • 無し
  • データ プレーンのアクセス許可:
    • 検疫された成果物の表示と一覧表示 (管理は行わない)

オーナー

• ユース ケース: 他の ID にロールを割り当てたり、レジストリのロールの割り当てを実行したりする機能など、レジストリを完全に制御する必要がある管理者に割り当てます。
• アクセス許可: ロールの割り当てアクセス許可 や Microsoft Entra ベースのリポジトリのアクセス許可の管理など、すべてのレジストリ コントロール プレーン操作へのフル アクセス。
  • コントロール プレーンのアクセス許可:
    • レジストリの作成、更新、表示、一覧表示、削除 ( レジストリ SKU 、 可用性ゾーン、ゾーン冗長性を含む)
    • レジストリのロールの割り当てを管理する
    • ジオレプリケーション管理
    • 接続されているレジストリを管理する
    • ACR タスク、タスク実行、タスク エージェント プール、クイック タスク (az acr buildを使用したクイック ビルドとaz acr runを使用したクイック実行)、タスク ログ、タスク ID の管理
      • ACR タスクのシステム割り当てマネージド ID を構成するためのアクセス許可を付与します。 注: ACR タスクのユーザー割り当てマネージド ID を管理するには、個別の Managed Identity Operator ロールが必要です。
      • ACR タスクの自動消去を管理するアクセス許可を付与します
      • ABAC 対応レジストリの場合、ACR タスク、クイック ビルド、クイック実行には、リポジトリ内のイメージとタグをプッシュ、プル、または削除するための既定のデータ プレーンアクセス許可がありません。 ACR タスク、クイック タスク、クイック ビルド、クイック実行に対する ABAC の有効化の効果を確認します。
        • ABAC 対応レジストリに属する ACR タスクは、データ プレーン操作を実行するために、タスク ID に割り当てられた Container Registry Repository Reader/Writer/Contributor ロールと Container Registry Repository Catalog Lister ロールを持っている必要があります。
        • クイック ビルドとクイック実行の場合、データ プレーン操作を実行するには、クイック タスクを呼び出す ID (呼び出し元) に Container Registry Repository Reader/Writer/Contributor ロールと Container Registry Repository Catalog Lister ロールが割り当てられている必要があります。
    • アーティファクト キャッシュ ルールと資格情報セットを構成する
    • az acr importを使用して ACR イメージのインポートをトリガーする
    • ネットワーク、テナント、またはエアギャップの境界を越えた中間ストレージ アカウント (インポート パイプライン、エクスポート パイプライン、インポート/エクスポート パイプラインの実行) を使用して、レジストリ間で成果物を転送するための ACR 転送パイプラインを管理します。
    • レジストリ構成を更新する
      • レジストリの システム割り当てマネージド ID を構成します。 注: レジストリのユーザー割り当てマネージド ID を管理するには、個別の Managed Identity Operator ロールが必要です。
      • ネットワーク アクセス設定 (パブリック ネットワーク アクセス、 信頼されたサービス バイパス、 ネットワーク ファイアウォール規則、 専用データ エンドポイント、 仮想ネットワーク (VNET) サービス エンドポイント) を構成する
      • プライベート エンドポイント設定の構成 (プライベート エンドポイント接続とプライベート リンク リソースの設定、承認、拒否、一覧表示)
      • 認証アクセス設定を構成する (管理者ユーザー ログイン資格情報、 匿名プル、 Microsoft Entra 以外のトークン ベースのリポジトリのアクセス許可、 Microsoft Entra authentication-as-arm トークンの対象ユーザー)
      • レジストリ ポリシーの構成 (アイテム保持ポリシー、検疫の有効化、ソフト削除の有効化、データ流出のエクスポート ポリシーの構成)
    • レジストリ の診断と監視の設定 (診断設定、ログ、メトリック、 レジストリと geo レプリケーション用の Webhook、 および Event Grid) を構成する
    • レジストリの使用状況の表示 (ストレージの使用状況)
  • データ プレーンのアクセス許可:
    • なし - ABAC 対応レジストリには、組み込みの所有者ロールに対するデータ プレーンアクセス許可がありません。

投稿者

• ユース ケース: レジストリを管理する必要があるが、ロールの割り当てアクセス許可は必要ない ID に割り当てます。
• アクセス許可: ロールの割り当てアクセス許可を除く、すべてのレジストリ コントロール プレーン操作へのフル アクセス。
  • コントロール プレーンのアクセス許可:
    • レジストリのロールの割り当てを管理または実行する場合を除き、所有者と同じです。 レジストリのロールの割り当てを表示および一覧表示するためのアクセス許可のみが付与されます。
    • 注: レジストリのロールの割り当てを管理または実行するには、 Role Based Access Control Administrator ロールが必要です。 ロールの割り当てを管理するための Owner ロールの代わりに、この特権の低いロールをお勧めします。
  • データ プレーンのアクセス許可:
    • なし - ABAC 対応レジストリには、組み込みの共同作成者ロールに対するデータ プレーンアクセス許可がありません。

閲覧者

• ユース ケース: レジストリとレジストリ構成の表示と一覧表示のみが必要な ID に割り当てます。
• アクセス許可: 所有者と共同作成者と同じ可視性を付与しますが、読み取り専用操作に制限されます。 レジストリに対する作成、更新、または削除操作は許可されません。
  • コントロール プレーンのアクセス許可:
    • レジストリの表示と一覧表示 ( レジストリ SKU と 可用性ゾーン、ゾーンの冗長性を含む)
    • レジストリのロールの割り当てを表示および一覧表示する (管理しない)
    • geo を表示および一覧表示する
    • 接続されているレジストリの表示と一覧表示
    • ACRタスクの表示と一覧、タスク実行、タスクエージェントプール、タスクログ、およびタスクアイデンティティ
    • アーティファクト キャッシュ ルールと資格情報セットの表示と一覧表示
    • ネットワーク、テナント、またはエア ギャップの境界を越えて中間ストレージ アカウントを使用してレジストリ間で成果物を転送するための ACR 転送パイプラインの表示と一覧表示 (インポート パイプライン、エクスポート パイプライン、インポート/エクスポート パイプラインの実行)
    • レジストリ構成の表示
      • レジストリのシステム割り当てマネージド ID とユーザー割り当てマネージド ID の両方を表示および一覧表示する
      • ネットワーク アクセス設定 (パブリック ネットワーク アクセス、 信頼されたサービス バイパス、 ネットワーク ファイアウォール規則、 専用データ エンドポイント、 仮想ネットワーク (VNET) サービス エンドポイント) の表示と一覧表示
      • プライベート エンドポイント設定の表示と一覧表示 (プライベート エンドポイント接続とプライベート リンク リソースの設定、承認、拒否、一覧表示)
      • 認証アクセス設定の表示と一覧表示 (管理者ユーザー ログイン資格情報、 匿名プル、 Microsoft Entra 以外のトークン ベースのリポジトリのアクセス許可、 Microsoft Entra authentication-as-arm トークンの対象ユーザー)
      • レジストリの方針を表示と一覧 ( 保持方針の構成、 検疫の有効化、 ソフト削除の有効化、 データ漏洩エクスポート方針)
    • レジストリの診断と監視設定 (診断設定、ログ、メトリック、レジストリおよびジオレプリケーション用の Webhook、Event Grid) を表示および一覧化する。
    • レジストリの使用状況の表示 (ストレージの使用状況)
  • データ プレーンのアクセス許可:
    • なし - ABAC 対応レジストリには、組み込みの閲覧者ロールに対するデータ プレーンアクセス許可がありません。

オーナー

• ユース ケース: 他の ID にロールを割り当てたり、レジストリのロールの割り当てを実行したりする機能など、レジストリを完全に制御する必要がある管理者に割り当てます。
• アクセス許可: ロールの割り当てアクセス許可 や Microsoft Entra ベースのリポジトリのアクセス許可の管理など、すべてのレジストリ コントロール プレーン操作とデータ プレーン操作へのフル アクセス。
  • コントロール プレーンのアクセス許可:
    • レジストリの作成、更新、表示、一覧表示、削除 ( レジストリ SKU 、 可用性ゾーン、ゾーン冗長性を含む)
    • レジストリのロールの割り当てを管理する
    • ジオレプリケーション管理
    • 接続されているレジストリを管理する
    • ACR タスク、タスク実行、タスク エージェント プール、クイック タスク (az acr buildを使用したクイック ビルドとaz acr runを使用したクイック実行)、タスク ログ、タスク ID の管理
      • ACR タスクのシステム割り当てマネージド ID を構成するためのアクセス許可を付与します。 注: ACR タスクのユーザー割り当てマネージド ID を管理するには、個別の Managed Identity Operator ロールが必要です。
      • ACR タスクの自動消去を管理するアクセス許可を付与します
    • アーティファクト キャッシュ ルールと資格情報セットを構成する
    • az acr importを使用して ACR イメージのインポートをトリガーする
    • ネットワーク、テナント、またはエアギャップの境界を越えた中間ストレージ アカウント (インポート パイプライン、エクスポート パイプライン、インポート/エクスポート パイプラインの実行) を使用して、レジストリ間で成果物を転送するための ACR 転送パイプラインを管理します。
    • レジストリ構成を更新する
      • レジストリの システム割り当てマネージド ID を構成します。 注: レジストリのユーザー割り当てマネージド ID を管理するには、個別の Managed Identity Operator ロールが必要です。
      • ネットワーク アクセス設定 (パブリック ネットワーク アクセス、 信頼されたサービス バイパス、 ネットワーク ファイアウォール規則、 専用データ エンドポイント、 仮想ネットワーク (VNET) サービス エンドポイント) を構成する
      • プライベート エンドポイント設定の構成 (プライベート エンドポイント接続とプライベート リンク リソースの設定、承認、拒否、一覧表示)
      • 認証アクセス設定を構成する (管理者ユーザー ログイン資格情報、 匿名プル、 Microsoft Entra 以外のトークン ベースのリポジトリのアクセス許可、 Microsoft Entra authentication-as-arm トークンの対象ユーザー)
      • レジストリ ポリシーの構成 (アイテム保持ポリシー、検疫の有効化、ソフト削除の有効化、データ流出のエクスポート ポリシーの構成)
    • レジストリ の診断と監視の設定 (診断設定、ログ、メトリック、 レジストリと geo レプリケーション用の Webhook、 および Event Grid) を構成する
    • レジストリの使用状況の表示 (ストレージの使用状況)
  • データ プレーンのアクセス許可:
    • レジストリ内のリポジトリ内のイメージと成果物をプッシュおよびプルする
    • OCI 参照元成果物の作成、表示、一覧表示、削除
    • タグ (タグの作成、読み取り、一覧表示、再タグ付け、タグのタグ解除) などの画像と成果物のメタデータを管理する
    • レジストリ内のリポジトリ (イメージ名) の表示と一覧表示
    • リポジトリとイメージの アーティファクト ストリーミング を構成する (アーティファクト ストリーミングの自動変換のためのリポジトリ ポリシーの設定、特定のイメージのアーティファクト ストリーミング変換の有効化/無効化など)
    • 検疫された成果物の管理 (検疫された成果物の一覧表示と読み取り、アーティファクト検疫の状態の変更)
    • 論理的に削除された成果物の管理 (論理的に削除された成果物の一覧表示と復元)
    • リポジトリとイメージのポリシーを構成する ( リポジトリ、イメージ、ダイジェスト、タグのロックを含む)
    • Docker Content Trust (DCT) を使用してコンテナー イメージに署名する

投稿者

• ユース ケース: レジストリを管理する必要があるが、ロールの割り当てアクセス許可は必要ない ID に割り当てます。
• アクセス許可: ロールの割り当てアクセス許可を除く、すべてのレジストリ コントロール プレーン操作とすべてのデータ プレーン操作へのフル アクセス。
  • コントロール プレーンのアクセス許可:
    • レジストリのロールの割り当てを管理または実行する場合を除き、所有者と同じです。 レジストリのロールの割り当てを表示および一覧表示するためのアクセス許可のみが付与されます。
    • 注: レジストリのロールの割り当てを管理または実行するには、 Role Based Access Control Administrator ロールが必要です。 ロールの割り当てを管理するための Owner ロールの代わりに、この特権の低いロールをお勧めします。
  • データ プレーンのアクセス許可:
    • 所有者と同じ - データ プレーンへのフル アクセス。

閲覧者

• ユース ケース: レジストリとレジストリ構成の表示と一覧表示のみが必要な ID に割り当てます。
• アクセス許可: 所有者と共同作成者と同じ可視性を付与しますが、読み取り専用操作に制限されます。 レジストリに対する作成、更新、または削除操作は許可されません。
  • コントロール プレーンのアクセス許可:
    • レジストリの表示と一覧表示 ( レジストリ SKU と 可用性ゾーン、ゾーンの冗長性を含む)
    • レジストリのロールの割り当てを表示および一覧表示する (管理しない)
    • geo を表示および一覧表示する
    • 接続されているレジストリの表示と一覧表示
    • ACRタスクの表示と一覧、タスク実行、タスクエージェントプール、タスクログ、およびタスクアイデンティティ
    • アーティファクト キャッシュ ルールと資格情報セットの表示と一覧表示
    • ネットワーク、テナント、またはエア ギャップの境界を越えて中間ストレージ アカウントを使用してレジストリ間で成果物を転送するための ACR 転送パイプラインの表示と一覧表示 (インポート パイプライン、エクスポート パイプライン、インポート/エクスポート パイプラインの実行)
    • レジストリ構成の表示
      • レジストリのシステム割り当てマネージド ID とユーザー割り当てマネージド ID の両方を表示および一覧表示する
      • ネットワーク アクセス設定 (パブリック ネットワーク アクセス、 信頼されたサービス バイパス、 ネットワーク ファイアウォール規則、 専用データ エンドポイント、 仮想ネットワーク (VNET) サービス エンドポイント) の表示と一覧表示
      • プライベート エンドポイント設定の表示と一覧表示 (プライベート エンドポイント接続とプライベート リンク リソースの設定、承認、拒否、一覧表示)
      • 認証アクセス設定の表示と一覧表示 (管理者ユーザー ログイン資格情報、 匿名プル、 Microsoft Entra 以外のトークン ベースのリポジトリのアクセス許可、 Microsoft Entra authentication-as-arm トークンの対象ユーザー)
      • レジストリの方針を表示と一覧 ( 保持方針の構成、 検疫の有効化、 ソフト削除の有効化、 データ漏洩エクスポート方針)
    • レジストリの診断と監視設定 (診断設定、ログ、メトリック、レジストリおよびジオレプリケーション用の Webhook、Event Grid) を表示および一覧化する。
    • レジストリの使用状況の表示 (ストレージの使用状況)
  • データ プレーンのアクセス許可:
    • レジストリ内のリポジトリ内のイメージと成果物をプルする
    • OCI 参照元成果物の表示と一覧表示
    • 画像とアーティファクトのメタデータ (タグなど) を表示および一覧表示する
    • レジストリ内のリポジトリ (イメージ名) の表示と一覧表示
    • リポジトリとイメージの アーティファクト ストリーミング 構成の表示 (自動アーティファクト ストリーミング変換のリポジトリ ポリシーの表示、イメージのアーティファクト ストリーミング構成の表示など)
    • 検疫された成果物の表示と一覧表示 (管理は行わない)
    • 論理的に削除された成果物を表示および一覧表する (管理しない)
    • リポジトリとイメージのポリシーを表示する ( リポジトリ、イメージ、ダイジェスト、タグのロックを含む)