Azure
Azure Key Vault,獲得足夠的權限來開發/管理客戶環境
我需要為客戶端管理 azure key vault 以儲存 VM 憑據、數據工廠憑據、SQL 憑據等。
我擁有對其環境的訪客帳戶訪問權限,並設置了對我們正在建構解決方案的 azure 訂閱的貢獻者訪問權限。訪問保管庫以及將其連結到服務的最佳方式是什麼,需要的權限最少。例如,我不想請求將安全管理員角色應用於我的帳戶,因為這會給我在他們的 AAD 和更大環境中的安全權限(我相信)。
任何對解決方法的見解將不勝感激!
驗證是否
key vault Contributor
僅在資源組範圍內授予您或類似權限。安全訪問密鑰保管庫範例是一個好的開始:New-AzRoleAssignment -ObjectId (Get-AzADGroup -SearchString 'Contoso Security Team')[0].Id -RoleDefinitionName "key vault Contributor" -ResourceGroupName ContosoAppRG
進一步自定義角色以滿足您的需求。您作為機密的管理員,需要對密鑰和機密的一些權限。但可能不會被授予
User Access Administrator
。此外,應用程序應該作為一個不同的角色執行,該角色只能訪問獲取機密。