在quickstart中,它讨论了为当前用户创建服务原则。我想拥有更多的分层安全结构。我将是当前用户,并且我希望对此密钥库具有“超级用户”或管理员权限。但是,我创建了另一个具有较低访问权限的用户。对于这两种情况,我都需要生成一个唯一的服务主体名称。如何为任意Azure用户生成服务主体名称?
答案 0 :(得分:0)
您可以在当前帐户下为此创建的用户创建另一个服务主体名称。您只需要为此服务主体分配较低的访问权即可。然后,用户可以使用具有较低访问权限的该服务主体来访问密钥库。
Azure service principal是为与应用程序,托管服务和用于访问Azure资源的自动化工具一起使用而创建的身份。您可以根据需要为不同的访问权限创建尽可能多的服务主体。如果要在创建的用户帐户下生成服务主体,则可能必须以该创建的用户身份登录。否则,恐怕无法完成。
您也可以在不使用服务主体的情况下将此用户的访问权限设置为此密钥库目录。参见here
az keyvault set-policy --name keyVaultName --object-id userObjectId --secret-permissions permissions --key-permissions permissions
您可以使用以下命令获取用户的对象ID:请参见here
az ad user show --id <email-address-of-user>