我创建了一个密钥库并添加了一些密钥,在创建过程中,使用 azure bicep 模板提供了对服务主体的访问权限。
var permissionContributorId = 'f25e0fa2-a7c8-4377-a976-54943a77a395'
resource popKeyVault 'Microsoft.KeyVault/vaults@2021-06-01-preview' = {
name: keyvaultname
location: location
properties: {
createMode: 'default'
tenantId: subscription().tenantId
sku: {
family: 'A'
name: 'standard'
}
enableRbacAuthorization: true
enabledForDeployment: true // VMs can retrieve certificates
enabledForTemplateDeployment: true
enabledForDiskEncryption: true
}
}
var roleDefinitionContributor = subscriptionResourceId('Microsoft.Authorization/roleDefinitions', permissionContributorId)
resource aksIdentityPermission 'Microsoft.Authorization/roleAssignments@2020-08-01-preview' = {
name: guid('${resourceGroup().name}/${popKeyVault.name}/aksApplicationGatewayPermission')
scope: popKeyVault
properties: {
principalId: userId
roleDefinitionId: roleDefinitionContributor
}
}
创建 keyvault 后,尽管我是订阅的所有者,甚至显示继承的权限,但当我尝试时,我仍无法访问 Web UI 中的机密。
收到此错误。
RBAC 不允许此操作。如果最近更改了角色分配,请等待几分钟以使角色分配生效。
如果我手动添加对我的用户名的访问权限并提供“Key Vault 管理员”访问权限,那么它就可以正常工作。
因此,我创建了一个组,并将我和我的同事添加为该组的成员。当我删除上面的手动条目并将该组添加为密钥保管库管理员时。我无法再次访问。
如下面的屏幕截图所示,您可以看到角色分配。
请建议我如何修复它?
还请建议如何在单个二头肌部分添加多个用户、组、服务主体访问,而不是使用多个条目。