Не удается извлечь изображение из реестра контейнеров Azure - получение запрещено

Question

Я успешно вхожу в систему, но не могу вытащить:

PS C:\Users\Me> docker login tlk8s.azurecr.io
Username (myUsername): Password:
Login Succeeded
PS C:\Users\Me> docker pull tlk8s.azurecr.io/devicecloudwebapi:v1
Error response from daemon: pull access denied for tlk8s.azurecr.io/devicecloudwebapi, repository does not exist or may require 'docker login'

Но, похоже, я правильно назвал его (см. Скриншот):

Что я мог делать не так? Как проверить, есть ли у моего участника службы правильные разрешения?

Вот результат вызова Get-AzureRmRoleAssignment:

Answer 1

Похоже, у меня был доступ участника, но мой реестр контейнеров находился в другой группе ресурсов, нежели мой участник службы. D'о.

Answer 2

В соответствии с приведенной ниже документацией учетная запись субъекта-службы должна иметь как минимум роль Reader , чтобы иметь возможность извлекать изображения из реестра контейнера Azure.

https://docs.microsoft.com/en-us/azure/container-registry/container-registry-authentication

Вы можете запустить следующий сценарий PS, чтобы перечислить существующие назначения ролей для своей учетной записи участника службы.

https://github.com/evandropaula/Azure/blob/master/ServicePrincipal/PS/List-ServicePrincipalRoleAssignments.ps1

Вы можете запустить следующий сценарий PS, чтобы назначить роль (например, Reader) своей учетной записи участника службы.

https://github.com/evandropaula/Azure/blob/master/ServicePrincipal/PS/Assign-ServicePrincipalRole.ps1