Esercitazione: Assegnare ruoli nella firma attendibile
Il servizio firma attendibile ha alcuni ruoli specifici del servizio oltre ai ruoli standard di Azure. Usare il controllo degli accessi in base al ruolo di Azure per assegnare ruoli utente e gruppo per i ruoli specifici della firma attendibile.
In questa esercitazione vengono esaminati i ruoli supportati per la firma attendibile. Assegnare quindi i ruoli all'account di firma attendibile nel portale di Azure.
Ruoli supportati per la firma attendibile
Nella tabella seguente sono elencati i ruoli supportati dalla firma attendibile, inclusi i ruoli a cui ogni ruolo può accedere all'interno delle risorse del servizio:
| Ruolo | Gestire e visualizzare l'account | Gestire i profili certificato | Firmare usando un profilo certificato | Visualizzare la cronologia delle firme | Gestire l'assegnazione di ruolo | Gestire la convalida delle identità |
|---|---|---|---|---|---|---|
| Verifica dell'identità della Firma attendibile | x | |||||
| Firmatario del profilo di certificato di Firma attendibile | x | x | ||||
| Proprietario | x | x | x | |||
| Collaboratore | x | x | ||||
| Lettore | x | |||||
| Amministratore Accesso utenti | x |
Il ruolo Trusted Signing Identity Verifier è necessario per gestire le richieste di convalida delle identità, che è possibile eseguire solo nel portale di Azure e non usando l'interfaccia della riga di comando di Azure. Per firmare correttamente, è necessario il ruolo di firmatario del profilo certificato di firma attendibile.
Assegnazione di ruoli
Nel portale di Azure passare all'account di firma attendibile. Scegliere Controllo di accesso (IAM) dal menu delle risorse.
Selezionare la scheda Ruoli e cercare Firma attendibile. La figura seguente illustra i due ruoli personalizzati.
Per assegnare questi ruoli, selezionare Aggiungi e quindi Aggiungi assegnazione di ruolo. Seguire le indicazioni in Assegnare ruoli in Azure per assegnare i ruoli pertinenti alle identità.
Per creare un account di firma attendibile e un profilo certificato, è necessario avere almeno il ruolo Collaboratore .
Per un controllo di accesso più granulare a livello di profilo certificato, è possibile usare l'interfaccia della riga di comando di Azure per assegnare ruoli. È possibile usare i comandi seguenti per assegnare il ruolo di firmatario del profilo certificato di firma attendibile agli utenti e alle entità servizio per firmare i file:
az role assignment create --assignee <objectId of user/service principle> --role "Trusted Signing Certificate Profile Signer" --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource-group-name>/providers/Microsoft.CodeSigning/codeSigningAccounts/<trustedsigning-account-name>/certificateProfiles/<profileName>"