azurecontainer Registry（ACR）团队正在推出存储库范围的基于角色的访问控制（RBAC）权限的预览，这是我们在UserVoice上投票最多的项目。在这个版本中，我们提供了命令行界面（CLI）体验，您可以尝试提供反馈。ACR已经支持多个身份验证选项，使用对整个注册表具有基于角色的访问权限的身份。但是，对于多团队场景，您可能希望将多个团队合并到单个注册表中，从而限制每个团队对其特定存储库的访问。存储库范围的RBAC现在启用了此功能。以下是存储库范围权限可能会派上用场的一些场景：限制对组织内特定用户组的存储库访问权限。例如，为构建针对特定存储库的映像的开发人员提供写访问权限，并为从这些存储库部署的团队提供读取访问权限。为数百万的物联网设备提供单独访问，从特定存储库中提取图像。为外部组织提供对特定存储库的权限。在这个版本中，我们引入了令牌作为实现存储库范围的RBAC权限的机制。令牌是用于向注册表进行身份验证的凭据。它可以由用户名和密码或Azure Active Directory（AAD）对象（如Azure Active Directory用户、服务主体和托管标识）来支持。对于这个版本，我们提供了用户名和密码支持的令牌。未来的版本将支持由azureactivedirectory对象（如azureactivedirectory用户、服务主体和托管标识）支持的令牌。见图1。*将来的版本中将提供对Azure Active Directory（AAD）支持令牌的支持。图1下面的图2描述了令牌和范围映射之间的关系。令牌是用于向注册表进行身份验证的凭据。它有一组允许的操作，这些操作的作用域是一个或多个存储库。生成令牌后，可以使用它向注册表进行身份验证。您可以使用以下命令进行docker登录：docker登录--用户名mytoken--密码stdin我的注册表.azurecr.io.范围映射是一个注册表对象，它将应用于令牌的存储库权限分组。它提供了对一个或多个存储库的访问图。您可以将作用域存储库权限应用于令牌，也可以将其重新应用于其他令牌。如果在创建令牌时不应用范围映射，则会自动为您创建一个范围映射，以保存权限设置。范围映射帮助您配置多个用户对一组存储库具有相同的访问权限。图2由于客户使用容器和其他工件进行物联网部署，设备数量可能会增加到数百万。为了支持物联网的规模，azurecontainer Registry使用令牌实现了基于存储库的RBAC（图3）。令牌不能替代服务主体或托管标识。您可以添加令牌作为提供物联网部署场景可伸缩性的附加选项。本文介绍如何创建一个令牌，其权限仅限于注册表中的特定存储库。通过引入基于令牌的存储库权限，您现在可以为用户或服务提供对存储库的有范围和时间限制的访问，而无需Azure Active Directory标识。将来，我们将支持由azureactivedirectory对象支持的令牌。看看这个新功能，让我们知道你对GitHub的反馈。图3可用性和反馈Azure CLI体验现在正在预览中。一如既往，我们很乐意听到您对现有功能的反馈以及对我们产品路线图的想法。路线图：了解我们计划的工作。UserVoice：为现有请求投票或创建新请求。问题：查看现有的bug和问题，或者记录新的bug和问题。ACR文档：用于ACR教程和文档。