Azure DevOps / Azure KeyVault: добавление субъекта-службы через развертывание шаблона - PullRequest
0 голосов
/ 19 ноября 2018

Я развертываю хранилище ключей Azure с шаблонами ARM и хотел бы добавить принципала службы в политики контроля доступа. Поэтому я создаю приложение в Azure Active Directory и получаю идентификатор объекта приложения:

enter image description here

Затем я добавляю запись в файл параметров:

"accessPolicies": {
    "value": [
        {
            "objectId": "xxx",
            "tenantId": "xxx",
            "permissions": {
                "keys": [
                    "Get",
                    "List",
                    "Update",
                    "Create",
                    "Import",
                    "Delete",
                    "Recover",
                    "Backup",
                    "Restore"
                ],
                "secrets": [
                    "Get",
                    "List",
                    "Set",
                    "Delete",
                    "Recover",
                    "Backup",
                    "Restore"
                ],
                "certificates": [
                "Get",
                "List",
                "Update",
                "Create",
                "Import",
                "Delete",
                "Recover",
                "Backup",
                "Restore",
                "ManageContacts",
                "ManageIssuers",
                "GetIssuers",
                "ListIssuers",
                "SetIssuers",
                "DeleteIssuers"
                ]
            }
        }
    ]
}

Но в последующей задаче хранилища ключей Azure я получаю ошибку Access Denied.

Что мне нужно сделать, чтобы иметь возможность добавить участника службы в хранилище ключей Azure через развертывание шаблона с соответствующими правами доступа?

1 Ответ

0 голосов
/ 19 ноября 2018

Проблема в том, что выбран "неправильный" идентификатор объекта.Вместо того, чтобы получать идентификатор объекта из App registrations, необходимо получить его из Enterprise applications

enter image description here

Другой вариант получить это через пользовательский интерфейс:нажав на Managed application in local directory -> Properties

enter image description here

...