Реестр контейнеров Azure + MSI (в сервисной структуре) - возможно ли это?

Вот настройки:

• Реестр контейнеров Azure
• Сервисная ткань
  • VMSS с идентификатором SystemAssigned (он же "Идентификатор управляемого сервиса" или MSI)
  • Удостоверение VMSS, которому предоставлена ​​роль "Читатель", доступ к реестру контейнера Azure
• ApplicationManifest.xml
  • ServiceManifest.xml ссылается на контейнер в реестре

Здорово.

За исключением того, что сервисная фабрика не может запускать экземпляры приложения, потому что она не может извлечь контейнер из реестра. Когда я RDP в ВМ и тянуть, он говорит мне "требуется проверка подлинности"

Я понимаю, что могу добавить в мой ApplicationManifest.xml. С моим паролем На учетную запись администратора контейнера. Что кажется "плохим", даже если зашифровано. Определенно менее удобно, чем работать MSI.

Работая локально, MSI отлично работает после пары небольших команд az acr.

Можно ли все это как-то обернуть в файлы ApplicationManifest / ServiceManifest.xml, чтобы MSI учитывал при извлечении из реестра Azure Container Registry?