Azure Container Registry Entra のアクセス許可とロールの割り当ての概要

2025-05-09

Azure Container Registry (ACR) には、ACR レジストリに Microsoft Entra ベースのアクセス許可管理を提供する一連の組み込みロールが用意されています。 Azure ロールベースのアクセス制御 (RBAC) を使用すると、組み込みロールをユーザー、マネージド ID、またはサービスプリンシパルに割り当てて、ロール内で定義された Microsoft Entra ベースのアクセス許可を付与できます。組み込みロールが要件を満たしていない場合は、特定のニーズに合わせて調整されたきめ細かいアクセス許可を持つカスタムロールを定義して割り当てることもできます。

サポートされているロールの割り当て ID の種類

ACR ロールを次の ID の種類に割り当てて、レジストリにアクセス許可を付与できます。

個々のユーザー ID
Azure リソースのマネージド ID
- Azure DevOps - Azure Pipelines ID
- AKS ノードが ACR からイメージをプルできるようにするために、Azure Kubernetes Service (AKS) ノードの kubelet ID を利用する。 ACR では、AKS ノードが ACR からイメージをプルするための AKS マネージド kubelet ID と AKS 事前に作成された kubelet ID の両方に対するロールの割り当てがサポートされています。
- Azure Container Apps (ACA) ID
- Azure Container Instances (ACI) ID
- Azure Machine Learning (AML) ワークスペース ID
- Kubernetes クラスターのノードが ACR からイメージを取得できるようにするための、AML に紐づけられた Kubernetes クラスターノードの kubelet の ID。
- AML オンラインエンドポイント ID
- Azure App Service ID
- Azure Web Apps ID
- Azure Batch ID
- Azure Functions ID
サービスプリンシパル
- AKS ノードが ACR からイメージをプルできるようにする AKS クラスターサービスプリンシパル。 ACR では、テナント間のサービスプリンシパルロールの割り当てと認証によって、テナント間の AKS ノードから ACR への認証もサポートされます。
- ACI サービスプリンシパル
- サービスプリンシパルを使用した Azure Stack Hub 上のハイブリッドまたはオンプレミスの AKS クラスター

クラウドベースの ACR とは異なる ACR のオンプレミスレジストリオファリングである ACR 接続レジストリでは、Azure ロールの割り当てと Entra ベースのアクセス許可管理はサポートされていないことに注意してください。

ロールの割り当てを実行してアクセス許可を付与する

ID にロールを割り当てる方法については、「ロールの割り当てを追加する手順」を参照してください。ロールの割り当ては、次を使用して行うことができます。

ロールの割り当てを実行するには、レジストリに Owner ロールまたは Role Based Access Control Administrator ロールが必要です。

特定のリポジトリへのロールの割り当てのスコープ設定

Microsoft Entra 属性ベースのアクセス制御 (ABAC) を使用して、Microsoft Entra ベースのリポジトリのアクセス許可を管理できます。この機能を使用すると、レジストリ内の特定のリポジトリにロールの割り当てをスコープできます。

Microsoft Entra ABAC 条件をサポートする ACR 組み込みロールなど、Microsoft Entra ABAC リポジトリのアクセス許可の概要については、 Microsoft Entra ベースのリポジトリのアクセス許可を参照してください。または、Microsoft Entra ABAC 条件をサポートする組み込みロールの一覧については、 Azure Container Registry ロールのディレクトリリファレンスを参照してください。

シナリオ別の推奨される組み込みロール

ID が目的の機能を実行するために必要なアクセス許可のみを割り当てることで、最小限の特権の原則を適用します。これらの一般的なシナリオには、それぞれ推奨される組み込みロールがあります。

注

該当する組み込みロールとロールの動作は、レジストリの "ロール割り当てアクセス許可モード" によって異なります。これは、Azure portal の [プロパティ] ブレードに表示されます。

RBAC レジストリと ABAC リポジトリのアクセス許可: オプションの Microsoft Entra ABAC 条件を使用して標準の RBAC ロールの割り当てをサポートし、特定のリポジトリへの割り当てをスコープ指定します。
RBAC レジストリのアクセス許可: ABAC 条件のない標準の RBAC 割り当てのみがサポートされます。

Microsoft Entra ABAC および ABAC 対応ロールの詳細については、 Microsoft Entra ベースのリポジトリのアクセス許可を参照してください。

"RBAC レジストリ + ABAC リポジトリのアクセス許可" で構成されたレジストリ
"RBAC レジストリのアクセス許可" で構成されたレジストリ

シナリオ: イメージをプルし、開発者、パイプライン、コンテナーオーケストレーターなどのサプライチェーン成果物を検証する必要がある ID (たとえば、Azure Kubernetes Service ノード kubelet ID、Azure Container Apps、Azure Container Instances、Azure Machine Learning ワークスペース)
- 役割： Container Registry Repository Reader
- 目的: プルイメージと成果物、ビュータグ、リポジトリ、Open Container Initiative (OCI) 参照元、成果物ストリーミング構成へのデータプレーン読み取り専用アクセスを許可します。コントロールプレーンまたは書き込み権限は含まれません。 レジストリ内のリポジトリを一覧表示するためのリポジトリカタログリストのアクセス許可は付与しません 。
- ABAC のサポート: このロールは、オプションの Microsoft Entra ABAC 条件をサポートし、レジストリ内の特定のリポジトリにロールの割り当てをスコープ指定します。
シナリオ: CI/CD ビルドパイプラインなどの ID と、イメージをビルドしてプッシュし、イメージタグを管理する開発者
- 役割： Container Registry Repository Writer
- アクセス許可: イメージと成果物のプッシュ、プル、更新 (削除は除く)、タグの読み取り/管理、OCI 参照元の読み取り/管理、リポジトリとイメージの成果物ストリーミングの有効化 (ただし無効ではない) へのデータプレーンアクセスを許可します。コントロールプレーンのアクセス許可は含まれません。 レジストリ内のリポジトリを一覧表示するためのリポジトリカタログリストのアクセス許可は付与しません 。
- ABAC のサポート: このロールは、オプションの Microsoft Entra ABAC 条件をサポートし、レジストリ内の特定のリポジトリにロールの割り当てをスコープ指定します。
シナリオ: イメージ、成果物、タグ、および OCI 参照元を削除する必要があるアイデンティティ
- 役割： Container Registry Repository Contributor
- アクセス許可: イメージ と成果物の読み取り、書き込み、更新、削除 、タグの読み取り/管理/削除、OCI 参照元の読み取り/管理/削除、リポジトリとイメージの成果物ストリーミングの有効化/無効化を行うアクセス許可を付与します。コントロールプレーンのアクセス許可は含まれません。 レジストリ内のリポジトリを一覧表示するためのリポジトリカタログリストのアクセス許可は付与しません 。
- ABAC のサポート: このロールは、オプションの Microsoft Entra ABAC 条件をサポートし、レジストリ内の特定のリポジトリにロールの割り当てをスコープ指定します。
シナリオ: レジストリ内のすべてのリポジトリを一覧表示する必要がある ID
- 役割： Container Registry Repository Catalog Lister
- アクセス許可: {loginServerURL}/acr/v1/_catalog または {loginServerURL}/v2/_catalog レジストリ API エンドポイントを使用して、レジストリ内のすべてのリポジトリを一覧表示するためのデータプレーンアクセスを許可します。コントロールプレーンのアクセス許可やイメージをプッシュ/プルするためのアクセス許可は含まれません。
- ABAC サポート: このロール は、Microsoft Entra ABAC 条件をサポートしていません。そのため、このロールの割り当てにより、レジストリ 内のすべてのリポジトリを一覧表示するアクセス許可が付与 されます。
シナリオ: イメージに署名するパイプライン、ID、および開発者
- Notary Project などの OCI 参照元を使用してイメージに署名する場合:
  - 役割： Container Registry Repository Writer
  - アクセス許可: イメージや成果物にアタッチされたOCIリファラーの形式でプッシュ署名を行うため、データプレーンへのアクセスを許可します。コントロールプレーンのアクセス許可は含まれません。
  - ABAC のサポート: このロールは、オプションの Microsoft Entra ABAC 条件をサポートし、レジストリ内の特定のリポジトリにロールの割り当てをスコープ指定します。
- Docker Content Trust (DCT) を使用してイメージに署名する場合:
  - ABAC 対応レジストリの DCT を使用したイメージへの署名はサポートされていません。
シナリオ: ACR レジストリを作成、更新、または削除する必要があるパイプライン、ID、開発者
- 役割： Container Registry Contributor and Data Access Configuration Administrator
- アクセス許可:
  - 次のようなレジストリを作成、構成、管理、 および削除 するためのコントロールプレーンアクセスを許可します。
    - レジストリ SKU の構成
    - 認証アクセス設定 (管理者ユーザーログイン資格情報、匿名プル、 Microsoft Entra 以外のトークンベースのリポジトリのアクセス許可、 Microsoft Entra authentication-as-arm トークンの対象ユーザー)
    - 高可用性機能 (地理的レプリケーション、可用性ゾーン、ゾーン冗長性)
    - オンプレミスの機能 (接続されたレジストリ)
    - レジストリエンドポイント (専用データエンドポイント)
    - ネットワークアクセス (プライベートリンクとプライベートエンドポイントの設定、パブリックネットワークアクセス、信頼されたサービスバイパス、ネットワークファイアウォール規則、仮想ネットワーク (VNET) サービスエンドポイント)
    - レジストリポリシー (保持ポリシー、レジストリ全体の検疫の有効化、ソフトデリートの有効化、データ漏洩防止ポリシー)
    - 診断と監視の設定 (診断設定、ログ、メトリック、レジストリとジオレプリケーション用のウェブフック、および Event Gridを含む)
    - レジストリのシステム割り当てマネージド ID を管理する
  - 注: このロールは、レジストリ自体を削除するアクセス許可を付与します。
  - 注: このロールには、データプレーン操作 (画像のプッシュ/プルなど)、ロールの割り当て機能、ACR タスクは含まれません。
  - 注: レジストリのユーザー割り当てマネージド ID を管理するには、割り当て先にも Managed Identity Operator ロールが必要です。
- ABAC のサポート: このロールは、ロールのスコープがレジストリレベルであるため、Microsoft Entra ABAC 条件をサポートしていません。これにより、レジストリ全体のコントロールプレーンの設定と構成を管理するためのアクセス許可が付与されます。
シナリオ: レジストリを一覧表示し、レジストリ構成を表示する必要があるが、レジストリイメージへのアクセスは必要ないパイプライン、インフラストラクチャエンジニア、またはコントロールプレーンの観測/監視ツール
- 役割： Container Registry Configuration Reader and Data Access Configuration Reader
- アクセス許可: Container Registry Contributor and Data Access Configuration Administrator ロールに対応する読み取り専用のもの。レジストリを表示および一覧表示し、レジストリ構成を検査するためのコントロールプレーンアクセスを許可しますが、変更することはできません。データプレーン操作 (画像のプッシュ/プルなど) やロールの割り当て機能は含まれません。
- ABAC のサポート: このロールは、ロールのスコープがレジストリレベルであるため、Microsoft Entra ABAC 条件をサポートしていません。これにより、レジストリ全体のコントロールプレーン設定と構成を読み取るためのアクセス許可が付与されます。
シナリオ: レジストリとレジストリの構成を監査し、レジストリイメージにアクセスして脆弱性をスキャンする必要がある脆弱性スキャナーとツール
- ロール: Container Registry Repository Reader、 Container Registry Repository Catalog Lister、および Container Registry Configuration Reader and Data Access Configuration Reader
- アクセス許可: ACR レジストリの表示と一覧表示、および監査とコンプライアンスのためのレジストリ構成の監査に対するコントロールプレーンアクセスを許可します。また、画像、成果物、およびビュータグをプルして、画像をスキャンして脆弱性を分析するためのアクセス許可も付与します。
- ABAC のサポート: ACR では、脆弱性スキャナーとモニターが、レジストリ内のすべてのリポジトリへの完全なデータプレーンアクセス権を持つことが推奨されます。そのため、特定のリポジトリにスコープを設定せずにロールのアクセス許可を付与するには、Microsoft Entra ABAC 条件なしでこれらのロールを割り当てる必要があります。
シナリオ: ACR タスクを調整するパイプラインと ID
- 役割： Container Registry Tasks Contributor
- アクセス許可: タスク定義とタスク実行、タスクエージェントプール、az acr buildを使用したクイックビルド、az acr runを使用したクイック実行、タスクログなど、ACR タスクを管理します。データプレーンのアクセス許可またはより広範なレジストリ構成は含まれません
- 注: タスク ID を完全に管理するには、割り当て先に Managed Identity Operator ロールが必要です。
- ABAC のサポート: このロールは、レジストリレベルにスコープが設定され、レジストリ内のすべての ACR タスクを管理するためのアクセス許可を付与するため、Microsoft Entra ABAC 条件をサポートしていません。
シナリオ: az acr importを使用してイメージをインポートするパイプラインや開発者などの ID
- 役割： Container Registry Data Importer and Data Reader
- アクセス許可: az acr importを使用してイメージのインポートをトリガーするためのコントロールプレーンアクセスと、インポートの成功を検証するためのデータプレーンアクセスを許可します (インポートされたイメージと成果物のプル、リポジトリの内容の表示、OCI 参照元の一覧表示、インポートされたタグの検査)。レジストリ内のコンテンツのプッシュまたは変更を許可しません。
- ABAC のサポート: このロールは、レジストリレベルにスコープが設定され、レジストリ内の任意のリポジトリにイメージをインポートするアクセス許可を付与するため、Microsoft Entra ABAC 条件をサポートしていません。また、レジストリ内のすべてのリポジトリのイメージを読み取るアクセス許可も付与されます。
シナリオ: ネットワーク、テナント、またはエアギャップの境界を越えて中間ストレージアカウントを使用してレジストリ間で成果物を転送するための ACR 転送パイプラインを管理するパイプラインや開発者などの ID
- 役割： Container Registry Transfer Pipeline Contributor
- アクセス許可: 中間ストレージアカウントを使用して、ACR インポート/エクスポート転送パイプラインとパイプライン実行を管理するためのコントロールプレーンアクセスを許可します。データプレーンのアクセス許可、より広範なレジストリアクセス、ストレージアカウントやキーコンテナーなどの他の Azure リソースの種類を管理するためのアクセス許可は含まれません。
- ABAC のサポート: このロールは、レジストリレベルにスコープが設定され、レジストリ内のすべての ACR 転送パイプラインを管理するためのアクセス許可を付与するため、Microsoft Entra ABAC 条件をサポートしていません。
シナリオ: 検疫済みイメージの管理
- ロール: AcrQuarantineReader および AcrQuarantineWriter
- アクセス許可: レジストリ内の検疫済みイメージを管理します。詳細な検査のために検疫済みイメージを一覧表示およびプルしたり、イメージの検疫状態を変更したりします。検疫されたイメージはプッシュされたイメージであり、検疫解除されるまでプルまたは使用できません。
- ABAC のサポート: このロールは、レジストリレベルにスコープが設定され、レジストリ内のすべての検疫済みイメージを管理するためのアクセス許可を付与するため、Microsoft Entra ABAC 条件をサポートしていません。
シナリオ: ACR タスクでレジストリの自動消去を構成する開発者またはプロセス
- 役割： Container Registry Tasks Contributor
- アクセス許可: ACR タスクで実行される自動消去を管理するためのコントロールプレーンのアクセス許可を付与します。
- ABAC のサポート: このロールは、レジストリレベルにスコープが設定され、レジストリ内のすべての ACR タスクを管理するためのアクセス許可を付与するため、Microsoft Entra ABAC 条件をサポートしていません。
シナリオ: Visual Studio Code Docker 拡張機能ユーザー
- ロール: Container Registry Repository Writer、 Container Registry Tasks Contributor、および Container Registry Contributor and Data Access Configuration Administrator
- アクセス許可: Visual Studio Code で一般的な開発者ワークフローをサポートする、 az acr buildを使用してレジストリの参照、イメージのプルとプッシュ、イメージのビルドを行う機能を付与します。
- ABAC のサポート: ACR では、Visual Studio Code ユーザーがレジストリ内のすべてのリポジトリへの完全なデータプレーンアクセス権を持つことが推奨されます。そのため、特定のリポジトリにスコープを設定せずにロールのアクセス許可を付与するには、Microsoft Entra ABAC 条件なしでこれらのロールを割り当てる必要があります。

シナリオ: イメージをプルし、開発者、パイプライン、コンテナーオーケストレーターなどのサプライチェーン成果物を検証する必要がある ID (たとえば、Azure Kubernetes Service ノード kubelet ID、Azure Container Apps、Azure Container Instances、Azure Machine Learning ワークスペース)
- 役割： AcrPull
- 目的: プルイメージと成果物、ビュータグ、リポジトリ、Open Container Initiative (OCI) 参照元、成果物ストリーミング構成へのデータプレーン読み取り専用アクセスを許可します。コントロールプレーンまたは書き込み権限は含まれません。
シナリオ: CI/CD ビルドパイプラインなどの ID と、イメージをビルドしてプッシュし、イメージタグを管理する開発者
- 役割： AcrPush
- アクセス許可: イメージと成果物のプッシュとプル、タグの管理、OCI 参照元の操作、リポジトリとイメージのアーティファクトストリーミングの構成に対するデータプレーンアクセスを許可します。コントロールプレーンのアクセス許可は含まれません。
シナリオ: イメージに署名するパイプライン、ID、および開発者
- Notary Project などの OCI 参照元を使用してイメージに署名する場合:
  - 役割： AcrPush
  - アクセス許可: イメージや成果物にアタッチされたOCIリファラーの形式でプッシュ署名を行うため、データプレーンへのアクセスを許可します。コントロールプレーンのアクセス許可は含まれません。
- Docker Content Trust (DCT) を使用してイメージに署名する場合:
  - 役割： AcrImageSigner
  - アクセス許可: Docker Content Trust (DCT) を使用してレジストリ内のイメージに署名します。
  - 注: Docker コンテンツ信頼は非推奨です。
シナリオ: ACR レジストリを作成、更新、または削除する必要があるパイプライン、ID、開発者
- 役割： Container Registry Contributor and Data Access Configuration Administrator
- アクセス許可:
  - 次のようなレジストリを作成、構成、管理、 および削除 するためのコントロールプレーンアクセスを許可します。
    - レジストリ SKU の構成
    - 認証アクセス設定 (管理者ユーザーログイン資格情報、匿名プル、 Microsoft Entra 以外のトークンベースのリポジトリのアクセス許可、 Microsoft Entra authentication-as-arm トークンの対象ユーザー)
    - 高可用性機能 (ジオリプリケーション、可用性ゾーン、ゾーン冗長性)
    - オンプレミスの機能 (接続されたレジストリ)
    - レジストリエンドポイント (専用データエンドポイント)
    - ネットワークアクセス (プライベートリンクとプライベートエンドポイントの設定、パブリックネットワークアクセス、信頼されたサービスバイパス、ネットワークファイアウォール規則、仮想ネットワーク (VNET) サービスエンドポイント)
    - レジストリポリシー (アイテム保持ポリシー、レジストリ全体の検疫の有効化、論理的な削除の有効化、データ流出エクスポートポリシー)
    - 診断と監視の設定 (診断設定、ログ、メトリック、レジストリと地理的レプリケーション用のWebhook、およびEvent Grid)
    - レジストリのシステム割り当てマネージド ID を管理する
  - 注: このロールは、レジストリ自体を削除するアクセス許可を付与します。
  - 注: このロールには、データプレーン操作 (画像のプッシュ/プルなど)、ロールの割り当て機能、ACR タスクは含まれません。
  - 注: レジストリのユーザー割り当てマネージド ID を管理するには、割り当て先にも Managed Identity Operator ロールが必要です。
シナリオ: レジストリを一覧表示し、レジストリ構成を表示する必要があるが、レジストリイメージへのアクセスは必要ないパイプライン、インフラストラクチャエンジニア、またはコントロールプレーンの観測/監視ツール
- 役割： Container Registry Configuration Reader and Data Access Configuration Reader
- アクセス許可: Container Registry Contributor and Data Access Configuration Administrator ロールに対応する読み取り専用のもの。レジストリを表示および一覧表示し、レジストリ構成を検査するためのコントロールプレーンアクセスを許可しますが、変更することはできません。データプレーン操作 (画像のプッシュ/プルなど) やロールの割り当て機能は含まれません。
シナリオ: レジストリとレジストリの構成を監査し、レジストリイメージにアクセスして脆弱性をスキャンする必要がある脆弱性スキャナーとツール
- ロール: AcrPull および Container Registry Configuration Reader and Data Access Configuration Reader
- アクセス許可: ACR レジストリの表示と一覧表示、および監査とコンプライアンスのためのレジストリ構成の監査に対するコントロールプレーンアクセスを許可します。また、画像、成果物、およびビュータグをプルして、画像をスキャンして脆弱性を分析するためのアクセス許可も付与します。
シナリオ: ACR タスクを調整するパイプラインと ID
- 役割： Container Registry Tasks Contributor
- アクセス許可: タスク定義とタスク実行、タスクエージェントプール、az acr buildを使用したクイックビルド、az acr runを使用したクイック実行、タスクログなど、ACR タスクを管理します。データプレーンのアクセス許可またはより広範なレジストリ構成は含まれません
- 注: タスク ID を完全に管理するには、割り当て先に Managed Identity Operator ロールが必要です。
シナリオ: az acr importを使用してイメージをインポートするパイプラインや開発者などの ID
- 役割： Container Registry Data Importer and Data Reader
- アクセス許可: az acr importを使用してイメージのインポートをトリガーするためのコントロールプレーンアクセスと、インポートの成功を検証するためのデータプレーンアクセスを許可します (インポートされたイメージと成果物のプル、リポジトリの内容の表示、OCI 参照元の一覧表示、インポートされたタグの検査)。レジストリ内のコンテンツのプッシュまたは変更を許可しません。
シナリオ: ネットワーク、テナント、またはエアギャップの境界を越えて中間ストレージアカウントを使用してレジストリ間で成果物を転送するための ACR 転送パイプラインを管理するパイプラインや開発者などの ID
- 役割： Container Registry Transfer Pipeline Contributor
- アクセス許可: 中間ストレージアカウントを使用して、ACR インポート/エクスポート転送パイプラインとパイプライン実行を管理するためのコントロールプレーンアクセスを許可します。データプレーンのアクセス許可、より広範なレジストリアクセス、ストレージアカウントやキーコンテナーなどの他の Azure リソースの種類を管理するためのアクセス許可は含まれません。
シナリオ: 検疫済みイメージの管理
- ロール: AcrQuarantineReader および AcrQuarantineWriter
- アクセス許可: レジストリ内の検疫済みイメージを管理します。詳細な検査のために検疫済みイメージを一覧表示およびプルしたり、イメージの検疫状態を変更したりします。検疫されたイメージはプッシュされたイメージであり、検疫解除されるまでプルまたは使用できません。
シナリオ: イメージ、成果物、タグ、および OCI 参照元を削除する
- 役割： AcrDelete
- アクセス許可: レジストリ内のすべてのリポジトリの成果物とタグを削除するアクセス許可を提供します。このロールでは、レジストリ自体を削除するアクセス許可は付与されません。
シナリオ: ACR タスクでレジストリの自動消去を構成する開発者またはプロセス
- 役割： Container Registry Tasks Contributor
- アクセス許可: ACR タスクで実行される自動消去を管理するためのコントロールプレーンのアクセス許可を付与します。
シナリオ: Visual Studio Code Docker 拡張機能ユーザー
- ロール: AcrPush、 Container Registry Tasks Contributor、および Container Registry Contributor and Data Access Configuration Administrator
- アクセス許可: Visual Studio Code で一般的な開発者ワークフローをサポートする、 az acr buildを使用してレジストリの参照、イメージのプルとプッシュ、イメージのビルドを行う機能を付与します。

次のステップ

オプションの Microsoft Entra ABAC 条件でロールの割り当てを実行し、ロールの割り当てを特定のリポジトリにスコープ設定するには、 Microsoft Entra ベースのリポジトリのアクセス許可を参照してください。
各ロールによって付与されるアクセス許可など、すべての ACR 組み込みロールの詳細なリファレンスについては、 Azure Container Registry ロールのディレクトリリファレンスを参照してください。
特定のニーズと要件を満たすカスタムロールの作成の詳細については、「 Azure Container Registry カスタムロール」を参照してください。