Azure

Azure Key Vault,獲得足夠的權限來開發/管理客戶環境

  • May 30, 2019

我需要為客戶端管理 azure key vault 以儲存 VM 憑據、數據工廠憑據、SQL 憑據等。

我擁有對其環境的訪客帳戶訪問權限,並設置了對我們正在建構解決方案的 azure 訂閱的貢獻者訪問權限。訪問保管庫以及將其連結到服務的最佳方式是什麼,需要的權限最少。例如,我不想請求將安全管理員角色應用於我的帳戶,因為這會給我在他們的 AAD 和更大環境中的安全權限(我相信)。

任何對解決方法的見解將不勝感激!

驗證是否key vault Contributor僅在資源組範圍內授予您或類似權限。安全訪問密鑰保管庫範例是一個好的開始:

New-AzRoleAssignment -ObjectId (Get-AzADGroup -SearchString 'Contoso Security Team')[0].Id -RoleDefinitionName "key vault Contributor" -ResourceGroupName ContosoAppRG

進一步自定義角色以滿足您的需求。您作為機密的管理員,需要對密鑰和機密的一些權限。但可能不會被授予User Access Administrator

此外,應用程序應該作為一個不同的角色執行,該角色只能訪問獲取機密。

引用自:https://serverfault.com/questions/969432