订阅级别角色类似于 Reader,但阻止 Key Vault 机密访问和存储密钥访问
Subscription level Role similar to Reader but preventing Key Vault secret access & storage key access
我正在寻找一些订阅级别的 RBAC 角色,类似于 'Reader' 但与 Reader 不同的是,它不应允许访问 Key Vault 机密和 Azure 存储 blob 密钥。订阅级别有这样的角色吗?
something like 'Reader' but unlike Reader, it should not allow accessing Key Vault secrets and Azure Storage blob keys.
对于您的情况,Reader 角色是合适的。
要访问 azure keyvault secret/key/certificate,用户需要分配相应的权限,如 Access policies 中的 get, list, set, delete。没有权限,他将无法访问它们。但是你要注意,不要将用户分配为Owner/Contributor/Key Vault Contributor角色(可能还有其他角色,只是一个提示),因为拥有这些角色的用户可以将自己添加到Access policies。
有关 keyvault 访问控制的更多详细信息,请参阅此 link。
要访问 Azure 存储 blob 密钥,用户将需要 Microsoft.ClassicStorage/storageAccounts/listKeys/action 权限,而 Reader 没有,因此也适用。
Reader角色为您测评:
存储空间:
密钥库:
我正在寻找一些订阅级别的 RBAC 角色,类似于 'Reader' 但与 Reader 不同的是,它不应允许访问 Key Vault 机密和 Azure 存储 blob 密钥。订阅级别有这样的角色吗?
something like 'Reader' but unlike Reader, it should not allow accessing Key Vault secrets and Azure Storage blob keys.
对于您的情况,Reader 角色是合适的。
要访问 azure keyvault secret/key/certificate,用户需要分配相应的权限,如 Access policies 中的 get, list, set, delete。没有权限,他将无法访问它们。但是你要注意,不要将用户分配为Owner/Contributor/Key Vault Contributor角色(可能还有其他角色,只是一个提示),因为拥有这些角色的用户可以将自己添加到Access policies。
有关 keyvault 访问控制的更多详细信息,请参阅此 link。
要访问 Azure 存储 blob 密钥,用户将需要 Microsoft.ClassicStorage/storageAccounts/listKeys/action 权限,而 Reader 没有,因此也适用。
Reader角色为您测评:
存储空间:
密钥库: