保护任何环境都需要多重防线。azurecontainerregistry最近宣布了诸如Azure私有链接、客户管理的密钥、专用数据端点和Azure策略定义等功能的普遍可用性。这些功能提供了一些工具来保护Azure容器注册表作为容器端到端工作流的一部分。客户管理密钥默认情况下，当您在Azure容器注册表中存储图像和其他构件时，内容会自动使用Microsoft托管密钥加密。选择Microsoft托管密钥意味着Microsoft将监督管理密钥的生命周期。许多组织有更严格的法规遵从性需求，需要对密钥的生命周期和访问策略拥有所有权和管理权。在客户可以选择创建密钥的情况下，对Azure客户进行托管和维护。由于密钥存储在密钥保险库中，客户还可以使用密钥保险库中的内置诊断和审核日志记录功能密切监视这些密钥的访问。客户管理的密钥通过使用客户提供的密钥的附加加密层来补充默认加密功能。请参阅有关如何为客户管理的键创建启用注册表的详细信息。私人链接容器注册中心以前可以使用防火墙规则限制访问。随着私有链接的引入，注册中心端点被分配了私有IP地址、虚拟网络中的路由流量以及通过Microsoft主干网提供的服务。私有链接支持一直是最重要的问题之一，它允许客户从Azure注册表管理中获益，同时从严格控制的网络出入中获益。私有链接在各种各样的Azure资源中都是可用的，很快就会有更多的私有链接，从而允许在私有虚拟网络的安全性下实现各种容器工作负载。请参阅有关如何为容器注册表配置Azure专用链接的文档。专用数据终结点私有链接是控制客户端和注册表之间网络访问的最安全方法，因为网络流量仅限于Azure虚拟网络。当不能使用私有链接时，专用的数据端点可以最大限度地减少数据外泄问题。启用专用数据终结点意味着它们可以使用完全限定的域名（[registry].[region]）配置防火墙规则。数据.azurecr.io)而不是带有通配符（*）的规则。blob.core.windows.net）的所有存储帐户。您可以使用Azure门户或Microsoft Azure CLI启用专用数据终结点。数据端点遵循区域模式，。数据.azurecr.io. 在地域复制注册表中，启用数据终结点允许终结点位于所有副本区域中。查看有关如何启用专用数据终结点的文档以了解更多信息。Azure内置策略如果实现了安全功能，那么拥有安全功能将保护您的工作流。为了确保您的Azure资源遵循最佳安全实践，Azure容器注册表添加了内置的Azure策略定义，您可以利用这些定义来实施安全规则。以下是一些可以为容器注册表启用的内置策略：容器注册表应使用客户管理的密钥进行加密。审核未使用客户管理的密钥启用加密的容器注册表。容器注册表不应允许无限制的网络访问。审核未配置任何网络（IP或VNET）规则且默认情况下允许所有网络访问的容器注册表。具有至少一个IP或防火墙规则或配置的虚拟网络的容器注册表将被视为兼容。容器注册中心应该使用私有链接。审核至少没有一个已批准的专用终结点连接的容器注册表。虚拟网络中的客户端可以通过专用链接安全地访问具有专用端点连接的资源。使用Azure策略，您可以确保您的注册与组织的法规遵从性需求保持一致。附加链接了解有关Azure容器注册表的详细信息。UserVoice：为现有请求投票或创建新请求。问题：查看现有的错误和问题或记录新的问题。Azure容器注册表文档：用于Azure容器注册表教程和文档。