我需要为客户端管理 Azure 密钥保管库以存储 VM 凭据、数据工厂凭据、SQL 凭据等。
我拥有访问其环境的来宾帐户,并设置了对我们正在构建解决方案的 Azure 订阅的贡献者访问权限。获取保管库访问权限并将其链接到服务的最佳方式是什么,同时所需的权限最少。例如,我不想请求将安全管理员角色应用于我的帐户,因为这将赋予我对其 AAD 和更大环境的安全权限(我相信)。
任何关于解决方法的见解都将不胜感激!
答案1
验证您的key vault Contributor或类似的权限仅在资源组范围内被授予。安全访问密钥保管库示例是一个好的开始:
New-AzRoleAssignment -ObjectId (Get-AzADGroup -SearchString 'Contoso Security Team')[0].Id -RoleDefinitionName "key vault Contributor" -ResourceGroupName ContosoAppRG
进一步自定义角色以满足您的需求。作为机密的管理员,您需要对密钥和机密拥有一些权限。但可能不会被授予User Access Administrator。
此外,该应用程序应该作为仅具有获取机密权限的不同角色运行。