Мне нужно администрировать хранилище ключей Azure для клиента для хранения кредитов виртуальных машин, кредитов фабрики данных, кредитов SQL и т. Д.
У меня есть гостевая учетная запись доступа к их среде, настройка с доступом участника к подписке Azure, в которой мы создаем решение. Каков наилучший способ получить доступ к хранилищу и возможность связать его со службами с минимально необходимыми разрешениями. Например. Я не хочу запрашивать применение роли администратора безопасности к моей учетной записи, так как это даст мне разрешения на безопасность для их AAD и более высокой среды (я считаю).
Приветствуется любое понимание работы вокруг!
Убедитесь, что ваш key vault Contributor или аналогичные разрешения предоставляются только в области группы ресурсов. Безопасный доступ к примеру хранилища ключей хорошее начало:
New-AzRoleAssignment -ObjectId (Get-AzADGroup -SearchString 'Contoso Security Team')[0].Id -RoleDefinitionName "key vault Contributor" -ResourceGroupName ContosoAppRG
Настройте роли в соответствии со своими потребностями. Вы, как администратор секретов, нуждаетесь в некоторых разрешениях на ключи и секреты. Но, вероятно, не получится User Access Administrator.
Кроме того, приложение должно работать с другой ролью, которая имеет доступ только для получения секретов.