Bei Zuweisung zur Gruppe ist kein Zugriff auf den Schlüsseltresor möglich. Wie kann ich das beheben?

tag-icon tag-icon azure vault key
Bei Zuweisung zur Gruppe ist kein Zugriff auf den Schlüsseltresor möglich. Wie kann ich das beheben?

Ich habe einen Schlüsseltresor erstellt und einige Schlüssel hinzugefügt und während der Erstellung mithilfe einer Azure Bicep-Vorlage Zugriff auf einen Dienstprinzipal gewährt.

var permissionContributorId = 'f25e0fa2-a7c8-4377-a976-54943a77a395'

resource popKeyVault 'Microsoft.KeyVault/vaults@2021-06-01-preview' = {

  name: keyvaultname

  location: location

  properties: {

    createMode: 'default'

    tenantId: subscription().tenantId

    sku: {

      family: 'A'

      name: 'standard'

    }

    enableRbacAuthorization: true

    enabledForDeployment: true // VMs can retrieve certificates

    enabledForTemplateDeployment: true

    enabledForDiskEncryption: true

  }

}

var roleDefinitionContributor = subscriptionResourceId('Microsoft.Authorization/roleDefinitions', permissionContributorId)

resource aksIdentityPermission 'Microsoft.Authorization/roleAssignments@2020-08-01-preview' = {

  name: guid('${resourceGroup().name}/${popKeyVault.name}/aksApplicationGatewayPermission')

  scope: popKeyVault

  properties: {

    principalId: userId

    roleDefinitionId: roleDefinitionContributor

  }

}

Obwohl ich nach der Erstellung des Schlüsseltresors Eigentümer des Abonnements bin und es sogar in den geerbten Berechtigungen angezeigt wird, konnte ich beim Versuch nicht auf die Geheimnisse in der Web-Benutzeroberfläche zugreifen.

Ich erhalte diesen Fehler.

Der Vorgang ist von RBAC nicht zugelassen. Wenn Rollenzuweisungen kürzlich geändert wurden, warten Sie einige Minuten, bis die Rollenzuweisungen wirksam werden.

Wenn ich den Zugriff auf meinen Benutzernamen manuell hinzufüge und den Zugriff „Key Vault-Administrator“ gewähre, funktioniert es.

Also habe ich eine Gruppe erstellt und mich und meine Kollegen als Mitglieder zu dieser Gruppe hinzugefügt. Und als ich den manuellen Eintrag oben entfernte und diese Gruppe als Schlüsseltresor-Administrator hinzufügte, konnte ich nicht mehr darauf zugreifen.

Die Rollenzuweisung sehen Sie im untenstehenden Screenshot.

Rollenzugriff

Schlagen Sie mir vor, wie ich das beheben kann?

Geben Sie bitte auch Vorschläge, wie Sie im einzelnen Biceps-Abschnitt den Zugriff mehrerer Benutzer, Gruppen und Serviceprinzipale hinzufügen können, anstatt mehrere Einträge zu verwenden.

verwandte Informationen