【问题标题】:How to block subscription owner from seeing keyvault values如何阻止订阅所有者查看 keyvault 值
【发布时间】:2019-04-09 11:28:48
【问题描述】:

在 Azure 中,我们将特权身份管理器用于许多 devops 活动,并允许某些人访问订阅所有者。但是,任何所有者都可以将自己添加到 keyvault 访问策略并查找所有值。有没有办法在不将密钥库放入另一个订阅的情况下阻止此访问?

【问题讨论】:

  • 看看我希望你能得到正确的想法。不过,如果您有任何问题,请随时在评论中提问。

标签: azure azure-active-directory


【解决方案1】:

很遗憾,您无法做到这一点。这是设计使然,Owner 角色将能够管理订阅下的所有内容,包括对资源的访问。

通过两个接口控制对密钥保管库的访问:管理平面和数据平面。

正如link中提到的:

如果用户对 Key Vault 管理平面具有 Contributor 权限,则用户可以通过设置 Key Vault 访问策略来授予自己对数据平面的访问权限。您应该严格控制谁拥有Contributor 角色访问您的密钥保管库的权限。确保只有经过授权的人员才能访问和管理您的密钥保管库、密钥、机密和证书。

Owner的权限比Contributor多,所以是一样的逻辑。

更多详情看这篇文章,够清楚了:https://docs.microsoft.com/en-us/azure/key-vault/key-vault-secure-your-key-vault。您还可以查看此 link 以获取内置角色及其权限。

【讨论】:

    猜你喜欢
    • 2017-08-12
    • 1970-01-01
    • 1970-01-01
    • 2022-10-18
    • 2013-09-28
    • 1970-01-01
    • 2018-07-30
    • 2022-09-27
    • 1970-01-01
    相关资源
    最近更新 更多