Хранилище ключей Azure, получая достаточные разрешения для разработки / администрирования среды клиентов

Question

Хранилище ключей Azure, получая достаточные разрешения для разработки / администрирования среды клиентов

Мне нужно администрировать хранилище ключей Azure, чтобы клиент мог хранить кредиты виртуальных машин, кредиты фабрики данных, кредиты SQL и т. Д.

У меня есть гостевая учетная запись для доступа к их среде, настройка с доступом участника к подписке Azure, в которой мы создаем решение. Каков наилучший способ получить доступ к хранилищу и связать его со службами с наименьшими необходимыми разрешениями. Например, я не хочу просить, чтобы роль администратора безопасности применялась к моей учетной записи, так как это дало бы мне разрешение на безопасность по сравнению с их AAD и большей средой (я полагаю).

Любое понимание обойтись было бы очень полезно!

0

azure azure-active-directory azure-sql

Источник

Font_writing_code 30 май '19 в 03:01

1 ответ

Другие вопросы по тегам azure azure-active-directory azure-sql

John Mahowald 30 май '19 в 19:32 2019-05-30 19:32 · Answer 1 · 2019-05-30 19:32

Убедитесь, что ваш key vault Contributor или аналогичные разрешения предоставляются только в области группы ресурсов. Безопасный доступ к примеру с хранилищем ключей - хорошее начало:

New-AzRoleAssignment -ObjectId (Get-AzADGroup -SearchString 'Contoso Security Team')[0].Id -RoleDefinitionName "key vault Contributor" -ResourceGroupName ContosoAppRG

Настройте роли в соответствии с вашими потребностями. Вам, как администратору секретов, нужны некоторые разрешения на ключи и секреты. Но, вероятно, не получить User Access Administrator,

Кроме того, приложение должно работать как другая роль, которая имеет доступ только для получения секретов.