Didacticiel : attribuer des rôles dans Signatures de confiance
Le service de Signatures de confiance a quelques rôles spécifiques à Signatures de confiance (en plus des rôles Azure standard). Utilisez le contrôle d’accès en fonction du rôle (RBAC) Azure pour attribuer des rôles d’utilisateur(-trice) et de groupe pour les rôles spécifiques à Signatures de confiance.
Dans ce tutoriel, vous vérifiez les rôles pris en charge par Signatures de confiance. Ensuite, vous attribuez des rôles à votre compte Signatures de confiance dans le portail Azure.
Rôles pris en charge pour Signatures de confiance
Le tableau suivant répertorie les rôles pris en charge par Signatures de confiance, notamment ce à quoi que chaque rôle peut accéder parmi les ressources du service :
| Rôle | Gérer et afficher le compte | Gérer les profils de certificat | Signer en utilisant un profil de certificat | Afficher l’historique de signature | Gérer l’attribution de rôle | Gérer la validation d’identité |
|---|---|---|---|---|---|---|
| Vérificateur d’identité de signature approuvée | x | |||||
| Signataire du profil de certificat de signature approuvée | x | x | ||||
| Owner | x | x | x | |||
| Contributeur | x | x | ||||
| Lecteur | x | |||||
| Administrateur de l’accès utilisateur | x |
Le rôle de vérificateur(-trice) d’identité de Signatures de confiance est obligatoire pour gérer les requêtes de validation d’identité, que vous pouvez effectuer uniquement dans le portail Azure, et non à l’aide d’Azure CLI. Le rôle Signataire du profil de certificat de Signatures de confiance est requis pour signer correctement à l’aide de Signatures de confiance.
Attribuer des rôles
Dans le portail Azure, accédez à votre compte Signatures de confiance. Dans le menu des ressources, sélectionnez Contrôle d’accès (IAM).
Sélectionnez l’onglet Rôles et recherchez Signatures de confiance. La figure suivante présente les deux rôles personnalisés.
Pour attribuer ces rôles, sélectionnez Ajouter, puis sélectionnez Ajouter une attribution de rôle. Suivez l’aide dans Attribuer des rôles dans Azure pour attribuer les rôles pertinents à vos identités.
Pour créer un compte de Signatures de confiance et un profil de certificat, vous devez avoir au moins le rôle de contributeur(-trice).
Pour un contrôle d’accès plus granulaire au niveau du profil de certificat, vous pouvez utiliser Azure CLI pour attribuer des rôles. Vous pouvez utiliser les commandes suivantes pour attribuer le rôle de signataire de profil de certificat de Signatures de confiance aux utilisateurs et aux mandants de service afin de signer des fichiers :
az role assignment create --assignee <objectId of user/service principle> --role "Trusted Signing Certificate Profile Signer" --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource-group-name>/providers/Microsoft.CodeSigning/codeSigningAccounts/<trustedsigning-account-name>/certificateProfiles/<profileName>"