Tutorial: Asignación de roles en firma de confianza
El servicio de firma de confianza tiene algunos roles específicos del servicio además de los roles estándar de Azure. Use Control de acceso basado en rol (RBAC) de Azure para asignar roles de usuario y grupo para los roles específicos de firma de confianza.
En este tutorial, revisará los roles admitidos de firma de confianza. A continuación, asigne roles a la cuenta de firma de confianza en Azure Portal.
Roles admitidos para la firma de confianza
En la tabla siguiente se enumeran los roles que admite la firma de confianza, incluido el acceso a cada rol dentro de los recursos del servicio:
| Role | Administrar y ver la cuenta | Administrar perfiles de certificado | Firmar mediante un perfil de certificado | Visualización del historial de firma | Gestionar la asignación de roles | Administración de la validación de identidades |
|---|---|---|---|---|---|---|
| Comprobador de identidad de firma de confianza | x | |||||
| Firmante de perfil de certificado de firma de confianza | x | x | ||||
| Owner | x | x | x | |||
| Colaborador | x | x | ||||
| Lector | x | |||||
| Administrador de acceso de usuarios | x |
El rol Comprobador de identidad de firma de confianza es necesario para administrar las solicitudes de validación de identidad, que solo puede hacer en Azure Portal y no mediante la CLI de Azure. El rol Firmante de perfil de certificado de firma de confianza es necesario para firmar correctamente mediante la firma de confianza.
Asignación de roles
En Azure Portal, vaya a la cuenta de firma de confianza. En el menú de recursos, seleccione Control de acceso (IAM).
Seleccione la pestaña Roles y busque Firma de confianza. En la ilustración siguiente se muestran los dos roles personalizados.
Para asignar estos roles, seleccione Agregar, y a continuación, seleccione Agregar asignación de roles. Siga las instrucciones de Asignación de roles en Azure para asignar los roles pertinentes a sus identidades.
Para crear una cuenta de firma de confianza y un perfil de certificado, debe tener asignado al menos el rol de Colaborador.
Para un control de acceso más granular en el nivel de perfil de certificado, puede usar la CLI de Azure para asignar roles. Puede usar los siguientes comandos para asignar el rol Firmante de perfil de certificado de firma de confianza a usuarios y entidades de servicio para firmar archivos:
az role assignment create --assignee <objectId of user/service principle> --role "Trusted Signing Certificate Profile Signer" --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource-group-name>/providers/Microsoft.CodeSigning/codeSigningAccounts/<trustedsigning-account-name>/certificateProfiles/<profileName>"