Azure 服务主体从 Container Registry 拉取映像

Question

我已经创建了这样的 Azure 服务主体

az ad sp create-for-rbac --name $SERVICE_PRINCIPAL_NAME --scopes $ACR_REGISTRY_ID --role reader

登录 (az login --service-principal -u $SERVICE_PRINCIPAL_NAME -p $SERVICE_PRINCIPAL_ID --tenant $TENANT_ID) 后，我可以看到我的注册表中的所有图像 (az acr repository list --name $ACR_REGISTRY_NAME)，但我无法推送或拉取图像 (docker pull myregistry.azurecr.io/myimage:latest)。

是否有我不知道的权限？我尝试过与owner 或contributor 等其他角色类似的操作，但SP 也遇到了同样的错误，如下所示：

来自守护程序的错误响应：获取https://myregistry.azurecr.io/v2/myimage/latest/manifests/latest：未授权：需要身份验证

---

8 月 14 日更新：

我也无法使用 SP 进行 docker 登录

来自守护程序的错误响应：获取 myregistry.azurecr.io/v2：未授权：需要身份验证

Answer 1

您需要使用 docker login 登录到注册表

docker login myregistry.azurecr.io -u xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -p myPassword

参考：https://docs.microsoft.com/en-us/azure/container-registry/container-registry-authentication#service-principal

Answer 2

对于 Azure Container Registry，有两种登录方式。

一种是用az acr login -n azureacrServer -u username -p password命令登录，登录后你就有了owner权限。

另一种是使用命令docker login azureacrServer -u servicePrincipalId -p sppassword 使用服务主体登录。这样，你登录后就只有服务主体的权限了。我试了一下，结果如下图所示：

此服务主体只是设置为读取器。所以我们无法推送图片。

您可以使用命令az role assignment list --scope acrId获取有关Azure容器注册表的服务主体的详细信息，该命令将显示该注册表的所有服务主体。命令 az acr show --resource-group groupName --name acrName --query id --output tsv 将显示注册表 ID。