我創建了一個金鑰庫並添加了一些金鑰,並在創建時使用天藍色二頭肌模板提供了對服務主體的存取。
var permissionContributorId = 'f25e0fa2-a7c8-4377-a976-54943a77a395'
resource popKeyVault 'Microsoft.KeyVault/vaults@2021-06-01-preview' = {
name: keyvaultname
location: location
properties: {
createMode: 'default'
tenantId: subscription().tenantId
sku: {
family: 'A'
name: 'standard'
}
enableRbacAuthorization: true
enabledForDeployment: true // VMs can retrieve certificates
enabledForTemplateDeployment: true
enabledForDiskEncryption: true
}
}
var roleDefinitionContributor = subscriptionResourceId('Microsoft.Authorization/roleDefinitions', permissionContributorId)
resource aksIdentityPermission 'Microsoft.Authorization/roleAssignments@2020-08-01-preview' = {
name: guid('${resourceGroup().name}/${popKeyVault.name}/aksApplicationGatewayPermission')
scope: popKeyVault
properties: {
principalId: userId
roleDefinitionId: roleDefinitionContributor
}
}
建立 keyvault 後,儘管我是訂閱的擁有者,甚至顯示了繼承的權限,但當我嘗試時,我無法存取 Web ui 中的機密。
出現此錯誤。
RBAC 不允許該操作。如果最近更改了角色分配,請等待幾分鐘以使角色分配生效。
如果我手動新增對我的使用者名稱的存取權限並提供「Key Vault 管理員」存取權限,那麼它就可以工作。
因此,我創建了一個小組,並將我和我的同事加入為該小組的成員。當我刪除上面的手動輸入並將該群組新增為密鑰保管庫管理員時。我無法再次訪問。
如果您在下面的螢幕截圖中看到角色分配。
建議我如何解決這個問題?
另請建議如何在單二頭肌部分新增多個使用者、群組、服務主要存取權限,而不是使用多個條目。