Azure API 管理用户分配的标识自定义域 KeyVault
Azure API Managment User Assigned Identity Custom Domain KeyVault
我有以下问题:
步骤(Azure 门户):
- 创建 Azure APIM(开发人员 sku、内部 vnet、没有系统分配的托管标识!)
- 创建自己的托管身份(用户管理身份)- UAI
- 创建 KeyVault
- UAI:使用 Reader 角色和作用域 KeyVault
为 UIA 和 KeyVault 创建角色分配
- KeyVault:为 UAI 创建 KeyVault 访问策略,使用“获取”、“列出”秘密和证书
- APIM:将 UAI 分配给 APIM 实例(没有 SystemAssigned Identity!)
- KeyVault:将自定义域名的证书上传到 KeyVault
- APIM:尝试在 APIM 中创建自定义域名,select 来自 KeyVault 的证书,然后单击添加
问题:
门户要求我将 Get/List 授予 APIM 实例。为什么 ? UAI 应该已经有了!
如果我在询问我是否要授予该策略的对话框中单击“是”,则会发生错误。
SystemAssigned Identity 顺便说一下。
我是不是漏掉了什么?
UI 目前不支持,但可以通过 API,请参阅此处的“identityClientId”和“keyVaultId”:https://docs.microsoft.com/en-us/rest/api/apimanagement/2021-01-01-preview/api-management-service/create-or-update#hostnameconfiguration
我有以下问题:
步骤(Azure 门户):
- 创建 Azure APIM(开发人员 sku、内部 vnet、没有系统分配的托管标识!)
- 创建自己的托管身份(用户管理身份)- UAI
- 创建 KeyVault
- UAI:使用 Reader 角色和作用域 KeyVault 为 UIA 和 KeyVault 创建角色分配
- KeyVault:为 UAI 创建 KeyVault 访问策略,使用“获取”、“列出”秘密和证书
- APIM:将 UAI 分配给 APIM 实例(没有 SystemAssigned Identity!)
- KeyVault:将自定义域名的证书上传到 KeyVault
- APIM:尝试在 APIM 中创建自定义域名,select 来自 KeyVault 的证书,然后单击添加
问题: 门户要求我将 Get/List 授予 APIM 实例。为什么 ? UAI 应该已经有了! 如果我在询问我是否要授予该策略的对话框中单击“是”,则会发生错误。
SystemAssigned Identity 顺便说一下。
我是不是漏掉了什么?
UI 目前不支持,但可以通过 API,请参阅此处的“identityClientId”和“keyVaultId”:https://docs.microsoft.com/en-us/rest/api/apimanagement/2021-01-01-preview/api-management-service/create-or-update#hostnameconfiguration