Например, если вы хотите использовать учетную запись автоматизации Azure для выполнения команды runbook
Get-AzureKeyVaultSecret
, мы должны предоставить этому SP разрешения, например:
Microsoft Authorization
: Microsoft Automation
: Microsoft.Automation/automationAccounts/runbooks/read
Microsoft.KeyVault
нужны эти разрешения:
Microsoft.KeyVault/vaults/read
Microsoft.KeyVault/vaults/secrets/read
Microsoft.KeyVault/vaults/accessPolicies/write
Обычно мы можем настроить роли для каждого провайдера. Например, Microsoft.KeyVault
, мы хотим, чтобы SP мог обновлять хранилище ключей или читать секреты, мы можем добавить Microsoft.KeyVault/vaults/write
, Microsoft.KeyVault/vaults/secrets/read
и Microsoft.KeyVault/vaults/read
.
PS C:\Users\jason> Get-AzureRmProviderOperation * | ?{ $_.ProviderNamespace -eq 'Microsoft Key Vault' } | select Operation, OperationName
Operation OperationName
--------- -------------
Microsoft.KeyVault/register/action Register Subscription
Microsoft.KeyVault/unregister/action Unregister Subscription
Microsoft.KeyVault/hsmPools/read View HSM pool
Microsoft.KeyVault/hsmPools/write Create or Update HSM pool
Microsoft.KeyVault/hsmPools/delete Delete HSM pool
Microsoft.KeyVault/hsmPools/joinVault/action Join KeyVault to HSM pool
Microsoft.KeyVault/checkNameAvailability/read Check Name Availability
Microsoft.KeyVault/vaults/read View Key Vault
Microsoft.KeyVault/vaults/write Update Key Vault
Microsoft.KeyVault/vaults/delete Delete Key Vault
Microsoft.KeyVault/vaults/deploy/action Use Vault for Azure Deployments
Microsoft.KeyVault/vaults/secrets/read View Secret Properties
Microsoft.KeyVault/vaults/secrets/write Update Secret
Microsoft.KeyVault/vaults/accessPolicies/write Update Access Policy
Microsoft.KeyVault/operations/read Available Key Vault Operations
Microsoft.KeyVault/deletedVaults/read View Soft Deleted Vaults
Microsoft.KeyVault/locations/operationResults/read Check Operation Result
Microsoft.KeyVault/locations/deletedVaults/read View Soft Deleted Key Vault
Microsoft.KeyVault/locations/deletedVaults/purge/action Purge Soft Deleted Key Vault
После этого мы можем назначить эту роль вашему SP, который вы хотите Get-AzureKeyVaultSecret
. Мы можем назначить несколько ролей одному ИП.
Примечание.
Каждому субъекту службы необходимо Microsoft Authorization
разрешение, иначе этот SP не войдет в Azure.
Обычно команде Azure PowerShell Get
требуется разрешение на чтение, New
, set
и Update
требуется разрешение на запись.
Надеюсь это поможет:)
person
Jason Ye
schedule
20.12.2017