Dela via

Självstudie: Tilldela roller i betrodd signering

  • Artikel

Tjänsten Betrodd signering har några tjänstspecifika roller utöver de vanliga Azure-rollerna. Använd rollbaserad åtkomstkontroll i Azure (RBAC) för att tilldela användar- och grupproller för de betrodda signeringsspecifika rollerna.

I den här självstudien granskar du roller som stöds av betrodd signering. Sedan tilldelar du roller till ditt betrodda signeringskonto i Azure-portalen.

Roller som stöds för betrodd signering

I följande tabell visas de roller som betrodd signering stöder, inklusive vad varje roll kan komma åt i tjänstens resurser:

Roll Hantera och visa konto Hantera certifikatprofiler Signera med hjälp av en certifikatprofil Visa signeringshistorik Hantera rolltilldelning Hantera identitetsverifiering
Identitetsverifierare för Trusted Signing x
Certifikatprofilsignerare för Trusted Signing x x
Ägare x x x
Deltagare x x
Läsare x
Administratör av användaråtkomst x

Rollen Betrodd signeringsidentitetsverifierare krävs för att hantera begäranden om identitetsverifiering, vilket du bara kan göra i Azure-portalen och inte med hjälp av Azure CLI. Signer-rollen För betrodd signeringscertifikatprofil krävs för att signera med hjälp av betrodd signering.

Tilldela roller

  1. Gå till ditt betrodda signeringskonto i Azure-portalen. Välj Åtkomstkontroll (IAM) på resursmenyn.

  2. Välj fliken Roller och sök efter Betrodd signering. Följande bild visar de två anpassade rollerna.

    Skärmbild som visar användargränssnittet för Azure-portalen och de anpassade RBAC-rollerna för betrodd signering.

  3. Om du vill tilldela dessa roller väljer du Lägg till och sedan Lägg till rolltilldelning. Följ riktlinjerna i Tilldela roller i Azure för att tilldela relevanta roller till dina identiteter.

    Om du vill skapa ett konto för betrodd signering och certifikatprofil måste du tilldelas rollen Deltagare .

  4. Om du vill ha mer detaljerad åtkomstkontroll på certifikatprofilnivå kan du använda Azure CLI för att tilldela roller. Du kan använda följande kommandon för att tilldela signeringsrollen För betrodd signeringscertifikatprofil till användare och tjänstens huvudnamn för att signera filer:

    az role assignment create --assignee <objectId of user/service principle> 
--role "Trusted Signing Certificate Profile Signer" 
--scope "/subscriptions/<subscriptionId>/resourceGroups/<resource-group-name>/providers/Microsoft.CodeSigning/codeSigningAccounts/<trustedsigning-account-name>/certificateProfiles/<profileName>"

Relaterat innehåll