教學課程:在信任簽署中指派角色
除了標準 Azure 角色之外,受信任的簽署服務還有一些服務特定角色。 使用 Azure 角色型存取控制 (RBAC) 為受信任的簽署特定角色指派使用者和群組角色。
在本教學課程中,您會檢閱信任的簽署支援角色。 然後,您會在 Azure 入口網站 中將角色指派給信任的簽署帳戶。
信任簽署的支援角色
下表列出信任簽署所支援的角色,包括每個角色都可以存取服務資源內的內容:
| 角色 | 管理和檢視帳戶 | 管理憑證配置檔 | 使用憑證配置檔進行簽署 | 檢視簽署歷程記錄 | 管理角色指派 | 管理身分識別驗證 |
|---|---|---|---|---|---|---|
| 信任簽署身分識別驗證器 | x | |||||
| 信任簽署憑證設定檔簽署者 | x | x | ||||
| 負責人 | x | x | x | |||
| 參與者 | x | x | ||||
| 讀取者 | x | |||||
| 使用者存取系統管理員 | x |
需要信任的簽署身分識別驗證器角色,才能管理身分識別驗證要求,您只能在 Azure 入口網站 中執行,而不是使用 Azure CLI。 需要信任的簽署憑證配置檔簽署者角色,才能使用信任簽署成功簽署。
指派角色
在 Azure 入口網站 中,移至您的信任簽署帳戶。 在資源功能表上,選取 [存取控制 [IAM]。
選取 [角色] 索引標籤,然後搜尋 [信任的簽署]。 下圖顯示兩個自定義角色。
若要指派這些角色,請選取 [新增],然後選取 [ 新增角色指派]。 請遵循在 Azure 中指派角色中的指引,將相關角色指派給您的身分識別。
若要建立受信任的簽署帳戶和憑證配置檔,您必須至少 獲指派參與者 角色。
如需憑證配置檔層級更細微的訪問控制,您可以使用 Azure CLI 來指派角色。 您可以使用下列命令,將受信任的簽署憑證設定檔簽署者角色指派給使用者和服務主體來簽署檔案:
az role assignment create --assignee <objectId of user/service principle> --role "Trusted Signing Certificate Profile Signer" --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource-group-name>/providers/Microsoft.CodeSigning/codeSigningAccounts/<trustedsigning-account-name>/certificateProfiles/<profileName>"