Öğretici: Güvenilen İmzalama'da rol atama
Güvenilir İmzalama hizmetinin, standart Azure rollerine ek olarak hizmete özgü birkaç rolü vardır. Güvenilen İmzalama'ya özgü roller için kullanıcı ve grup rolleri atamak için Azure rol tabanlı erişim denetimini (RBAC) kullanın.
Bu öğreticide Güvenilen İmzalama destekli rolleri gözden geçireceksiniz. Ardından, Azure portalında Güvenilen İmzalama hesabınıza roller atarsınız.
Güvenilen İmzalama için desteklenen roller
Aşağıdaki tabloda, Güvenilen İmzalama'nın desteklediği roller ve hizmetin kaynaklarındaki her rolün erişebileceği roller listelenmiştir:
Role | Hesabı yönetme ve görüntüleme | Sertifika profillerini yönetme | Sertifika profili kullanarak oturum açma | İmzalama geçmişini görüntüleme | Rol atamayı yönetme | Kimlik doğrulamayı yönetme |
---|---|---|---|---|---|---|
Güvenilir İmzalama Kimliği Doğrulayıcı | x | |||||
Güvenilir İmzalama Sertifikası Profilini İmzalayan | x | x | ||||
Sahip | x | x | x | |||
Katılımcı | x | x | ||||
Okuyucu | x | |||||
Kullanıcı Erişimi Yöneticisi | x |
Kimlik doğrulama isteklerini yönetmek için Güvenilen İmzalama Kimliği Doğrulayıcı rolü gereklidir . Bunu Azure CLI kullanarak değil yalnızca Azure portalında yapabilirsiniz. Güvenilen İmzalama kullanarak başarılı bir şekilde oturum açmak için Güvenilen İmzalama Sertifikası Profili İmzalayan rolü gereklidir.
Rol atama
Azure portalında Güvenilen İmzalama hesabınıza gidin. Kaynak menüsünde Erişim Denetimi (IAM) öğesini seçin.
Roller sekmesini seçin ve Güvenilen İmzalama'yı arayın. Aşağıdaki şekilde iki özel rol gösterilmektedir.
Bu rolleri atamak için Ekle'yi ve ardından Rol ataması ekle'yi seçin. İlgili rolleri kimliklerinize atamak için Azure'da rol atama başlığındaki yönergeleri izleyin.
Güvenilir İmzalama hesabı ve sertifika profili oluşturmak için en azından Katkıda Bulunan rolüne atanmalısınız.
Sertifika profili düzeyinde daha ayrıntılı erişim denetimi için Rol atamak için Azure CLI'yı kullanabilirsiniz. Dosyaları imzalamak üzere kullanıcılara ve hizmet sorumlularına Güvenilen İmzalama Sertifikası Profili İmzalayıcısı rolünü atamak için aşağıdaki komutları kullanabilirsiniz:
az role assignment create --assignee <objectId of user/service principle> --role "Trusted Signing Certificate Profile Signer" --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource-group-name>/providers/Microsoft.CodeSigning/codeSigningAccounts/<trustedsigning-account-name>/certificateProfiles/<profileName>"