Creé una bóveda de claves y agregué algunas claves y, durante la creación, proporcioné acceso a una entidad de servicio utilizando la plantilla Azure Bicep.
var permissionContributorId = 'f25e0fa2-a7c8-4377-a976-54943a77a395'
resource popKeyVault 'Microsoft.KeyVault/vaults@2021-06-01-preview' = {
name: keyvaultname
location: location
properties: {
createMode: 'default'
tenantId: subscription().tenantId
sku: {
family: 'A'
name: 'standard'
}
enableRbacAuthorization: true
enabledForDeployment: true // VMs can retrieve certificates
enabledForTemplateDeployment: true
enabledForDiskEncryption: true
}
}
var roleDefinitionContributor = subscriptionResourceId('Microsoft.Authorization/roleDefinitions', permissionContributorId)
resource aksIdentityPermission 'Microsoft.Authorization/roleAssignments@2020-08-01-preview' = {
name: guid('${resourceGroup().name}/${popKeyVault.name}/aksApplicationGatewayPermission')
scope: popKeyVault
properties: {
principalId: userId
roleDefinitionId: roleDefinitionContributor
}
}
Después de la creación de la bóveda de claves, aunque soy propietario de la suscripción e incluso aparece en los permisos heredados, no pude acceder a los secretos en la interfaz de usuario web cuando lo intenté.
Obteniendo este error.
La operación no está permitida por RBAC. Si las asignaciones de roles se cambiaron recientemente, espere varios minutos para que entren en vigencia.
Si agrego acceso a mi nombre de usuario manualmente y proporciono acceso de "Administrador de Key Vault", entonces está funcionando.
Entonces, creé un grupo y me agregué a mí y a mis compañeros como miembros de ese grupo. Y cuando eliminé la entrada manual anterior y agregué este grupo como administrador del almacén de claves. No pude acceder nuevamente.
La asignación de roles si la ve en la siguiente captura de pantalla.
¿Sugiérame cómo solucionarlo?
También sugiera cómo agregar múltiples usuarios, grupos y acceso principal al servicio en la sección de bíceps individual en lugar de usar múltiples entradas.