キー ボールトを作成し、いくつかのキーを追加し、作成中に Azure Bicep テンプレートを使用してサービス プリンシパルへのアクセスを提供しました。
var permissionContributorId = 'f25e0fa2-a7c8-4377-a976-54943a77a395'
resource popKeyVault 'Microsoft.KeyVault/vaults@2021-06-01-preview' = {
name: keyvaultname
location: location
properties: {
createMode: 'default'
tenantId: subscription().tenantId
sku: {
family: 'A'
name: 'standard'
}
enableRbacAuthorization: true
enabledForDeployment: true // VMs can retrieve certificates
enabledForTemplateDeployment: true
enabledForDiskEncryption: true
}
}
var roleDefinitionContributor = subscriptionResourceId('Microsoft.Authorization/roleDefinitions', permissionContributorId)
resource aksIdentityPermission 'Microsoft.Authorization/roleAssignments@2020-08-01-preview' = {
name: guid('${resourceGroup().name}/${popKeyVault.name}/aksApplicationGatewayPermission')
scope: popKeyVault
properties: {
principalId: userId
roleDefinitionId: roleDefinitionContributor
}
}
Keyvault を作成した後、サブスクリプションの所有者であり、継承された権限に表示されているにもかかわらず、Web UI でシークレットにアクセスしようとしてもできませんでした。
このエラーが発生しています。
この操作は RBAC によって許可されていません。ロールの割り当てが最近変更された場合は、ロールの割り当てが有効になるまで数分間お待ちください。
ユーザー名へのアクセスを手動で追加し、「Key Vault 管理者」アクセスを提供すると、機能します。
そこで、グループを作成し、自分と同僚をそのグループのメンバーとして追加しました。そして、上記の手動エントリを削除し、このグループをキー ボールト管理者として追加したところ、再度アクセスできなくなりました。
ロールの割り当ては、以下のスクリーンショットをご覧ください。
それを修正する方法を提案していただけますか?
また、複数のエントリを使用する代わりに、単一の上腕二頭筋セクションに複数のユーザー、グループ、サービス プリンシパル アクセスを追加する方法も提案してください。