允许 Azure CDN 访问 Azure KeyVault
Allowing Azure CDN to access Azure KeyVault
我正在尝试设置我的 Azure CDN 端点以将 HTTPS 用于我已经设置的自定义域。
当我试图指向 Azure KeyVault 中的 SSL 证书时,我收到一条错误消息,指出我需要授予 Azure CDN 对 KeyVault 的访问权限。知道我该怎么做——希望通过 Portal 而不是 Powershell,尽管我觉得它最终会需要 Powershell 命令。
基本上,我试图让我的 Azure CDN 端点在我的 Azure KeyVault.
中使用 SSL 证书
无论如何,如果有人能指点我一篇文章或一组说明,我将不胜感激。谢谢!
此处描述了使用您自己存储在 Azure KeyVault 中的证书启用 SSL 的说明:
最近这个有问题。
Azure 告诉您做不起作用的事情:
New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8" -Role Contributor
如果您对它的实际作用感到好奇,它只是让 隐藏 Microsoft.AzureFrontDoor-Cdn 在您订阅的 IAM 中扮演 Contributor 角色。您可以在传送门查看:
似乎“贡献者”角色不再包含读取密钥库的必要权限 - 即 Microsoft.KeyVault/vaults/secrets/readMetadata/action 权限。
我注意到:
- 此权限已授予内置
Key Vault Secrets User 角色
- 像
Key Vault Administrator 这样对秘密用户来说似乎“高级”的所有角色都不起作用,它必须是 Key Vault Secrets User
所以为我修复它的是进入我的密钥库并授予 MYSELF(不是 azure cdn)读取和列出机密的权限。似乎即使作为您的 Azure 实例的所有者和 god-emperor,默认情况下您也无法访问机密(屏幕截图中的“AT”是我):
我正在尝试设置我的 Azure CDN 端点以将 HTTPS 用于我已经设置的自定义域。
当我试图指向 Azure KeyVault 中的 SSL 证书时,我收到一条错误消息,指出我需要授予 Azure CDN 对 KeyVault 的访问权限。知道我该怎么做——希望通过 Portal 而不是 Powershell,尽管我觉得它最终会需要 Powershell 命令。
基本上,我试图让我的 Azure CDN 端点在我的 Azure KeyVault.
SSL 证书
无论如何,如果有人能指点我一篇文章或一组说明,我将不胜感激。谢谢!
此处描述了使用您自己存储在 Azure KeyVault 中的证书启用 SSL 的说明:
最近这个有问题。
Azure 告诉您做不起作用的事情:
New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8" -Role Contributor
如果您对它的实际作用感到好奇,它只是让 隐藏 Microsoft.AzureFrontDoor-Cdn 在您订阅的 IAM 中扮演 Contributor 角色。您可以在传送门查看:
似乎“贡献者”角色不再包含读取密钥库的必要权限 - 即 Microsoft.KeyVault/vaults/secrets/readMetadata/action 权限。
我注意到:
- 此权限已授予内置
Key Vault Secrets User角色 - 像
Key Vault Administrator这样对秘密用户来说似乎“高级”的所有角色都不起作用,它必须是Key Vault Secrets User
所以为我修复它的是进入我的密钥库并授予 MYSELF(不是 azure cdn)读取和列出机密的权限。似乎即使作为您的 Azure 实例的所有者和 god-emperor,默认情况下您也无法访问机密(屏幕截图中的“AT”是我):