Я хочу создать хранилище ключей Azure с довольно ограниченным доступом (одно или два наших приложения).Я создал Key Vault через портал Azure, но когда я просматриваю раздел «Контроль доступа», я обнаружил, что несколько приложений и пользователей имеют роль Contributor (унаследованную от подписки) для хранилища ключей, что дает им больше доступа, чемони должны иметь.
Поскольку подписка - это самый высокий уровень, на котором можно установить контроль доступа, я не могу отозвать доступ для этих приложений / пользователей, не отменяя его на уровне подписки, и это, вероятно, вызовет все видыпроблем.(не совсем понятно, какие разрешения им нужны, поэтому было бы немного больно выдавать эти разрешения на уровне группы ресурсов или ресурса).Более того, ничто не остановит того, кто придет позже, от добавления ролей участника на уровне подписки (например, для какого-то нового приложения) и нарушения безопасности хранилища ключей.
То же самое со всемиИсходя из этого, что было бы лучшим способом ограничить доступ к хранилищу ключей Azure, чтобы к нему имели доступ только те приложения / пользователи, которых я хочу, несмотря на тот факт, что несколько приложений / пользователей уже имеют эти разрешения на уровне подписки?
Дополнительная информация. Мы используем модель диспетчера ресурсов Azure, и в настоящее время все хранится в одной подписке.