gpt4 book ai didi

azure - 限制对 azure key Vault 的访问

转载 作者:行者123 更新时间:2023-12-02 23:45:05 24 4
gpt4 key购买 nike

我想创建一个访问权限相当受限的 Azure key 保管库(我们的一两个应用程序)。我已通过 Azure 门户创建了 Key Vault,但当我查看“访问控制”部分时,我发现多个应用程序和用户具有 Key Vault 的贡献者角色(从订阅继承),这为他们提供了比他们应该有。

由于订阅是可以设置访问控制的最高级别,因此我无法在不撤销订阅级别的情况下撤销这些应用程序/用户的访问权限,这可能会导致各种问题。 (目前还不清楚这些需要什么权限,因此必须在资源组或资源级别授予这些权限会有点痛苦)。此外,没有什么可以阻止后来的人在订阅级别添加贡献者角色(例如,对于某些新应用程序),并破坏 key 保管库的安全性。

考虑到所有这些,限制对 azure key Vault 的访问的最佳方法是什么,以便只有我想要的应用程序/用户才能访问它,尽管事实上有几个应用程序/用户已经拥有订阅级别的这些权限?

更多信息:我们正在使用 Azure 资源管理器模型,目前所有内容都存储在一个订阅中。

最佳答案

看起来您无法通过当前的 RBAC 工作方式实现这一目标。

以下是反馈论坛上已经运行的几个反馈请求 - https://feedback.azure.com 。一个用于 Key Vault,另一个以存储帐户为例,但本质上是寻找相同的功能来覆盖继承的权限。

您可能想对这些请求投票。

  1. Deny users with inherited permissions to Azure Key Vault Service from modifying Access Policies

  2. Exclude / override RBAC permissions inhereted from a subscription at a resource group level

更新(回答评论中的其他疑问):

Not granting subscription-level access in the first place (except to admins)

是的,这肯定会有帮助。

另一个建议是尝试使用资源组来组织资源,然后在这些资源组(范围)上分配角色。这样,您就不需要授予对单个项目的访问权限,但同时您可以避免授予最高订阅级别的访问权限。

关于azure - 限制对 azure key Vault 的访问,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52642635/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com