Azure Key Vault，獲得足夠的權限來開發/管理客戶環境

我需要為客戶端管理 azure key vault 以儲存 VM 憑據、數據工廠憑據、SQL 憑據等。

我擁有對其環境的訪客帳戶訪問權限，並設置了對我們正在建構解決方案的 azure 訂閱的貢獻者訪問權限。訪問保管庫以及將其連結到服務的最佳方式是什麼，需要的權限最少。例如，我不想請求將安全管理員角色應用於我的帳戶，因為這會給我在他們的 AAD 和更大環境中的安全權限（我相信）。

任何對解決方法的見解將不勝感激！

驗證是否key vault Contributor僅在資源組範圍內授予您或類似權限。安全訪問密鑰保管庫範例是一個好的開始：

New-AzRoleAssignment -ObjectId (Get-AzADGroup -SearchString 'Contoso Security Team')[0].Id -RoleDefinitionName "key vault Contributor" -ResourceGroupName ContosoAppRG

進一步自定義角色以滿足您的需求。您作為機密的管理員，需要對密鑰和機密的一些權限。但可能不會被授予User Access Administrator。

此外，應用程序應該作為一個不同的角色執行，該角色只能訪問獲取機密。

引用自：https://serverfault.com/questions/969432