你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
教程:在受信任签名中分配角色
除了标准 Azure 角色,受信任签名服务还有一些服务特定的角色。 使用 Azure 基于角色的访问控制 (RBAC) 为受信任签名特定角色分配用户和组角色。
在本教程中,你将查看受信任签名支持的角色。 然后,在 Azure 门户中将角色分配给受信任签名帐户。
受信任签名支持的角色
下表列出了受信任签名支持的角色,包括每个角色可在服务的资源中访问哪些内容:
| 角色 | 管理和查看帐户 | 管理证书配置文件 | 使用证书配置文件进行签名 | 查看签名历史记录 | 管理角色分配 | 管理标识验证 |
|---|---|---|---|---|---|---|
| 受信任的签名标识验证程序 | x | |||||
| 受信任的签名证书配置文件签名程序 | x | x | ||||
| 所有者 | x | X | x | |||
| 参与者 | x | x | ||||
| 读取器 | x | |||||
| 用户访问权限管理员 | x |
要管理标识验证请求,需要受信任签名标识验证者角色,只能在 Azure 门户中执行此操作,而不能使用 Azure CLI。 为了使用受信任签名成功签名,需要受信任签名证书配置文件签名者角色。
分配角色
在 Azure 门户中转到受信任签名帐户。 在资源菜单中,选择“访问控制(IAM)”。
选择“角色”选项卡,然后搜索“受信任签名”。 下图显示了两个自定义角色。
要分配这些角色,请选择“添加”,然后选择“添加角色分配”。。 按照在 Azure 中分配角色中的指南将相关角色分配给标识。
要创建受信任签名帐户和证书配置文件,必须至少具有参与者角色。
若要在证书配置文件级别进行更精细的访问控制,你可以使用 Azure CLI 来分配角色。 可使用以下命令将“受信任签名证书配置文件签名者”角色分配给用户和服务主体来对文件进行签名:
az role assignment create --assignee <objectId of user/service principle> --role "Trusted Signing Certificate Profile Signer" --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource-group-name>/providers/Microsoft.CodeSigning/codeSigningAccounts/<trustedsigning-account-name>/certificateProfiles/<profileName>"