Я хочу создать хранилище ключей Azure с довольно ограниченным доступом (одно или два наших приложения). Я создал Key Vault через портал Azure, но когда я смотрю на раздел Access Control, я обнаруживаю, что несколько приложений и Users имеют роль Contributor (унаследованную от подписки) для хранилища ключей, что дает им больше доступа, чем они должны иметь.
Поскольку подписка - это самый высокий уровень, на котором может быть установлен контроль доступа, у меня нет возможности отозвать доступ для этих приложений / пользователей, не отозвав его на уровне подписки, и это, вероятно, вызовет всевозможные проблемы. (не совсем ясно, какие разрешения им нужны, поэтому было бы немного больно предоставлять эти разрешения на уровне группы ресурсов или ресурсов). Более того, ничто не помешает тому, кто придет позже, добавить роли участника на уровне подписки (например, для какого-то нового приложения) и нарушить безопасность хранилища ключей.
Итак, имея в виду все это, каков был бы наилучший способ ограничить доступ к хранилищу лазурных ключей, чтобы только приложения / пользователи, которых я хочу, имели доступ к нему, несмотря на то, что несколько приложений / пользователей уже имеют эти разрешения на уровень подписки?
Подробнее: мы используем модель Azure Resource Manager, и в настоящее время все хранится в одной подписке.