Как запретить владельцу подписки видеть значения хранилища ключей
В Azure мы используем диспетчер привилегированных удостоверений для многих действий по разработке и разрешаем доступ владельца подписки для некоторых людей. Однако любой владелец может добавить себя в политики доступа к хранилищу ключей и просмотреть все значения. Есть ли способ заблокировать этот доступ, не помещая хранилище ключей в другую подписку?
Ответы 1
К сожалению, вы не могли этого сделать. Так задумано, роль Owner сможет управлять всем в рамках подписки, включая доступ к ресурсам.
Доступ к хранилищу ключей контролируется через два интерфейса: плоскость управления и плоскость данных.
Как упоминалось в этом связь:
If a user has
Contributorpermissions to a key vault management plane, the user can grant themselves access to the data plane by setting a Key Vault access policy. You should tightly control who hasContributorrole access to your key vaults. Ensure that only authorized persons can access and manage your key vaults, keys, secrets, and certificates.
Разрешения Owner больше, чем Contributor, так что это та же логика.
Подробнее читайте в этой статье, она достаточно понятна: https://docs.microsoft.com/en-us/azure/key-vault/key-vault-secure-your-key-vault. Вы также можете увидеть этот связь для встроенных ролей вместе с их разрешениями.
Взгляните, я надеюсь, вы получите правильное представление о. Тем не менее, если у вас есть какие-либо вопросы, не стесняйтесь задавать их здесь в комментариях.