Azure active directory 订阅级别角色类似于读卡器，但防止密钥保险库秘密访问&；存储密钥访问_Azure Active Directory_Azure Keyvault_Azure Security_Azure Rbac

Azure active directory 订阅级别角色类似于读卡器，但防止密钥保险库秘密访问&；存储密钥访问

azure-active-directory

Azure active directory 订阅级别角色类似于读卡器，但防止密钥保险库秘密访问&；存储密钥访问,azure-active-directory,azure-keyvault,azure-security,azure-rbac,Azure Active Directory,Azure Keyvault,Azure Security,Azure Rbac,我正在寻找一些订阅级别的RBAC角色，类似于“Reader”，但与Reader不同，它不应允许访问密钥Vault机密和Azure存储blob密钥。订阅级别是否有此类角色类似于“Reader”但与Reader不同的是，它不应允许访问密钥保险库机密和Azure存储blob密钥在您的情况下，阅读器角色是合适的要访问azure keyvault机密/密钥/证书，用户需要在访问策略中分配相应的权限，如获取、列出、设置、删除。如果没有这些权限，他将无法访问它们。但您应该注意，不要将用户指定为所有者/参

我正在寻找一些订阅级别的RBAC角色，类似于“Reader”，但与Reader不同，它不应允许访问密钥Vault机密和Azure存储blob密钥。订阅级别是否有此类角色

类似于“Reader”但与Reader不同的是，它不应允许访问密钥保险库机密和Azure存储blob密钥

在您的情况下，

阅读器

角色是合适的

要访问azure keyvault机密/密钥/证书，用户需要在

访问策略

中分配相应的权限，如

获取、列出、设置、删除

。如果没有这些权限，他将无法访问它们。但您应该注意，不要将用户指定为

所有者/参与者/密钥库参与者

角色（可能还有其他角色，只是提示），因为具有这些角色的用户可以将自己添加到

访问策略

。有关keyvault访问控制的更多详细信息，请参见此

要访问Azure存储blob密钥，用户需要

Microsoft.ClassicStorage/storageAccounts/listKeys/action

权限，而

读卡器不具备该权限，因此它也是合适的

使用阅读器
角色为您进行测试：
存储：

钥匙库：


Azure RBAC角色不应查看关键Vault机密。密钥库有自己的访问策略，需要设置这些策略才能访问机密。@juunas谢谢。你的意思是，如果我们为某个人提供订阅的读者访问权限，他将无法通过Azure门户访问关键vault资源并查看机密列表？我这里不是说应用程序级访问。还有，查看Azure存储资源的密钥呢？不，他们不会看到秘密。相反，存在一个错误，它抱怨访问。钥匙我不确定。在AAD中创建一个测试用户，在子/资源组中添加一个读卡器角色，然后对其进行测试，怎么样？；）@你是说创建一个“客户用户”吗？正常的“新用户”选项对我来说是禁用的。我想从RBAC的角度来看，即使我创建了一个来宾用户，这也不重要。我会试试看。感谢信不应该被读者看到