Руководство. Назначение ролей в доверенном подписи
Служба доверенных подписей имеет несколько ролей для конкретной службы в дополнение к стандартным ролям Azure. Используйте управление доступом на основе ролей Azure (RBAC), чтобы назначить роли пользователей и групп для ролей, относящихся к доверенным подписываниям.
В этом руководстве описаны поддерживаемые роли доверенного подписывания. Затем вы назначаете роли доверенной учетной записи подписывания в портал Azure.
Поддерживаемые роли для доверенного подписывания
В следующей таблице перечислены роли, поддерживаемые доверенным подписыванием, включая доступ к каждой роли в ресурсах службы:
Роль | Управление учетной записью и просмотр | Управление профилями сертификатов | Вход с помощью профиля сертификата | Просмотр журнала подписывания | Управление назначением ролей | Управление проверкой удостоверений |
---|---|---|---|---|---|---|
Средство проверки удостоверения в доверенном подписании | x | |||||
Подписант профиля сертификата в доверенном подписании | x | x | ||||
Ответственный | x | x | x | |||
Участник | x | x | ||||
Читатель | x | |||||
Администратор доступа пользователей | x |
Роль проверяющего удостоверения доверенного подписывания требуется для управления запросами на проверку удостоверений, которые можно выполнять только в портал Azure, а не с помощью Azure CLI. Роль подписывания доверенного профиля сертификата подписи требуется для успешного входа с помощью доверенного подписывания.
Назначение ролей
В портал Azure перейдите к учетной записи доверенной подписи. В меню ресурсов выберите контроль доступа (IAM).
Перейдите на вкладку " Роли " и найдите доверенный подписывание. На следующем рисунке показаны две пользовательские роли.
Чтобы назначить эти роли, нажмите кнопку "Добавить", а затем выберите " Добавить назначение ролей". Следуйте инструкциям в статье "Назначение ролей в Azure ", чтобы назначить соответствующие роли удостоверениям.
Чтобы создать учетную запись доверенной подписи и профиль сертификата, необходимо назначить по крайней мере роль участника .
Для более детального управления доступом на уровне профиля сертификата можно использовать Azure CLI для назначения ролей. Для подписывания файлов можно использовать следующие команды, чтобы назначить роль подписывщика профиля доверенного подписывания пользователям и субъектам-службам:
az role assignment create --assignee <objectId of user/service principle> --role "Trusted Signing Certificate Profile Signer" --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource-group-name>/providers/Microsoft.CodeSigning/codeSigningAccounts/<trustedsigning-account-name>/certificateProfiles/<profileName>"