我正在寻找订阅级别的 RBAC 角色,例如“Reader”,但与 Reader 不同的是,它不应允许访问 Key Vault 机密和 Azure 存储 blob 密钥。在订阅级别有这样的角色吗?
问问题
683 次
1 回答
1
类似于“Reader”但与 Reader 不同的是,它不应允许访问 Key Vault 机密和 Azure 存储 blob 密钥。
在你的情况下,这个Reader角色是合适的。
要访问 azure keyvault 密钥/密钥/证书,用户需要分配相应的权限,如get, list, set, delete. Access policies没有权限,他将无法访问它们。但是你应该注意,不要将用户分配为Owner/Contributor/Key Vault Contributor角色(可能还有其他角色,只是提示),因为具有这些角色的用户可以将自己添加到Access policies. 有关 keyvault 访问控制的更多详细信息,请参阅此链接。
要访问 Azure 存储 blob 密钥,用户将需要没有Microsoft.ClassicStorage/storageAccounts/listKeys/action权限Reader,因此它也是合适的。
对您的Reader角色进行测试:
贮存:
密钥库:
于 2019-12-10T01:51:18.820 回答