Criei um keyvault e adicionei algumas chaves e, durante a criação, forneci acesso a uma entidade de serviço usando o modelo azure bicep.
var permissionContributorId = 'f25e0fa2-a7c8-4377-a976-54943a77a395'
resource popKeyVault 'Microsoft.KeyVault/vaults@2021-06-01-preview' = {
name: keyvaultname
location: location
properties: {
createMode: 'default'
tenantId: subscription().tenantId
sku: {
family: 'A'
name: 'standard'
}
enableRbacAuthorization: true
enabledForDeployment: true // VMs can retrieve certificates
enabledForTemplateDeployment: true
enabledForDiskEncryption: true
}
}
var roleDefinitionContributor = subscriptionResourceId('Microsoft.Authorization/roleDefinitions', permissionContributorId)
resource aksIdentityPermission 'Microsoft.Authorization/roleAssignments@2020-08-01-preview' = {
name: guid('${resourceGroup().name}/${popKeyVault.name}/aksApplicationGatewayPermission')
scope: popKeyVault
properties: {
principalId: userId
roleDefinitionId: roleDefinitionContributor
}
}
Após a criação do keyvault, mesmo sendo proprietário da assinatura e até mostrando permissões herdadas, não consegui acessar os segredos na interface da web quando tentei.
Obtendo este erro.
A operação não é permitida pelo RBAC. Se as atribuições de funções foram alteradas recentemente, aguarde alguns minutos para que as atribuições de funções entrem em vigor.
Se eu adicionar acesso ao meu nome de usuário manualmente e fornecer acesso ao "Administrador do Key Vault", ele estará funcionando.
Então, criei um grupo e adicionei eu e meus colegas como membros desse grupo. E quando removi a entrada manual acima e adicionei este grupo como administrador do key vault. Não consegui acessar novamente.
A atribuição de função se você vê na imagem abaixo.
Sugira-me como consertar isso?
Sugira também como adicionar vários usuários, grupos e acesso principal de serviço na seção de bíceps individuais em vez de usar várias entradas.