Я создал хранилище ключей и добавил несколько ключей, а во время создания предоставил доступ к принципалу-службе с помощью шаблона Azure Bicep.
var permissionContributorId = 'f25e0fa2-a7c8-4377-a976-54943a77a395'
resource popKeyVault 'Microsoft.KeyVault/vaults@2021-06-01-preview' = {
name: keyvaultname
location: location
properties: {
createMode: 'default'
tenantId: subscription().tenantId
sku: {
family: 'A'
name: 'standard'
}
enableRbacAuthorization: true
enabledForDeployment: true // VMs can retrieve certificates
enabledForTemplateDeployment: true
enabledForDiskEncryption: true
}
}
var roleDefinitionContributor = subscriptionResourceId('Microsoft.Authorization/roleDefinitions', permissionContributorId)
resource aksIdentityPermission 'Microsoft.Authorization/roleAssignments@2020-08-01-preview' = {
name: guid('${resourceGroup().name}/${popKeyVault.name}/aksApplicationGatewayPermission')
scope: popKeyVault
properties: {
principalId: userId
roleDefinitionId: roleDefinitionContributor
}
}
После создания хранилища ключей, даже несмотря на то, что я являюсь владельцем подписки и даже отображаюсь в унаследованных разрешениях, я не смог получить доступ к секретам в веб-интерфейсе, когда попытался это сделать.
Возникает эта ошибка.
Операция не разрешена RBAC. Если назначения ролей были недавно изменены, подождите несколько минут, чтобы назначения ролей вступили в силу.
Если я вручную добавляю доступ к своему имени пользователя и предоставляю доступ «Администратор хранилища ключей», то все работает.
Итак, я создал группу и добавил себя и моих коллег в качестве участников этой группы. И когда я удалил ручную запись выше и добавил эту группу в качестве администратора хранилища ключей, я не смог получить доступ снова.
Распределение ролей вы видите на снимке экрана ниже.
Подскажите, как это исправить?
Также, пожалуйста, предложите, как добавить нескольких пользователей, групп, доступ принципала службы в один раздел бицепса вместо использования нескольких записей.