【发布时间】:2018-10-11 20:16:19
【问题描述】:
我们正在 Azure Government 中构建一个解决方案,我们将使用 Terraform 来部署该解决方案。似乎首选方法是为 Terraform 创建一个服务主体,该服务主体具有订阅范围内的贡献者角色。
我们希望解决的一个问题是,这使服务主体管理平面可以访问 Key Vault...因为它在订阅中。使用 Contributor 角色,服务主体无法创建新的访问策略(将自己或其他人的权限分配给数据平面),但我们正在寻找一种方法可以使服务主体不再拥有任何管理平面权限。
我们已尝试在创建服务主体之前在 Key Vault 上设置只读锁,但该锁不会阻止服务主体获取对 Key Vault 的参与者权限。
除了创建一个新角色之外,除了 Key Vault 之外的所有内容都有贡献者,是否有人有任何创意可以帮助实现这一目标?
【问题讨论】:
标签: azure azure-keyvault terraform-provider-azure