作为Azure中Linux VM的磁盘加密的一部分,我要求客户创建密钥保管库和服务主体,因为虽然我拥有订阅的所有者权限,但我无法访问其AD。我使用该服务主体来执行Linux VM磁盘加密。我最终得到了许可问题。我认为原因是,由于我无法访问他们的AD,因此我没有足够的权限来使用由客户创建的服务主体。
现在我要求客户采取以下措施:
步骤1:授予权限 转到Azure Active Directory,转到应用程序注册,选择所有应用程序,单击我们创建的webapp,单击设置,单击所需权限,单击授予权限,然后单击是。
步骤2:将我添加为服务主体的所有者 转到Azure Active Directory,转到应用程序注册,选择所有应用程序,单击我们创建的webapp,单击设置,单击所有者,然后单击+添加所有者将我添加为服务主体的所有者。这应该允许访问使用此服务主体。
完成这两个步骤后,希望我的问题能够得到解决。在询问客户之前,我想听听您的意见。请就此提出建议。
答案 0 :(得分:0)
只要您拥有应用程序中的AADClientID和Secret,就可以在AAD方面使用。
确保您向密钥保管库授予应用程序权限,并为磁盘加密启用密钥保险。
https://docs.microsoft.com/en-us/azure/security/azure-security-disk-encryption#prerequisites