Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La signature approuvée utilise le contrôle d’accès en fonction du rôle Azure (RBAC) pour contrôler l’accès pour vérifier les identités et les profils de certificat. Les rôles suivants sont essentiels pour activer les flux de travail :
| Nom du rôle | Objectif | Remarques |
|---|---|---|
| Vérificateur d’identité de signature approuvée | Requis pour gérer les demandes de validation d’identité | Ne peut être utilisé que dans le portail Azure, non pris en charge via Azure CLI |
| Signataire du profil du certificat de signature approuvé | Requis pour signer correctement à l’aide de la signature approuvée Azure | Nécessaire pour les opérations de signature ; fonctionne avec Azure CLI et le portail |
Dans ce tutoriel, vous allez passer en revue les rôles pris en charge pour la signature approuvée et découvrir comment les affecter à vos ressources de signature approuvée à l’aide du portail Azure.
Rôles pris en charge pour la signature de confiance
Le tableau suivant répertorie les rôles pris en charge par Trusted Signing, y compris ce à quoi chaque rôle peut accéder au sein des ressources du service :
| Rôle | Gérer et afficher le compte | Gérer les profils de certificat | Signer en utilisant un profil de certificat | Afficher l’historique de signature | Gérer l’attribution de rôle | Gérer la validation d’identité |
|---|---|---|---|---|---|---|
| Vérificateur d’identité de signature approuvée | x | |||||
| Signataire du profil de certificat de signature approuvée | x | x | ||||
| Propriétaire | x | x | x | |||
| Collaborateur | x | x | ||||
| Lecteur | x | |||||
| Administrateur de l’accès utilisateur | x |
Le rôle vérificateur d’identité de signature approuvée est requis pour gérer les demandes de validation d’identité, que vous pouvez effectuer uniquement dans le portail Azure, et non à l’aide d’Azure CLI. Le rôle Signataire du profil de certificat de Signatures de confiance est requis pour signer correctement à l’aide de Signatures de confiance.
Attribuer des rôles
Dans le portail Azure, accédez à votre compte Signatures de confiance. Dans le menu de la ressource, sélectionnez Contrôle d’accès (IAM) .
Sélectionnez l’onglet Rôles et recherchez la signature approuvée. La figure suivante montre les deux rôles personnalisés.
Pour attribuer ces rôles, sélectionnez Ajouter, puis Ajoutez une attribution de rôle. Suivez les instructions de l’attribution de rôles dans Azure pour attribuer les rôles pertinents à vos identités.
Pour créer un compte de signature approuvé et un profil de certificat, vous devez être affecté au moins au rôle Contributeur .
Pour un contrôle d’accès plus granulaire au niveau du profil de certificat, vous pouvez utiliser Azure CLI pour attribuer des rôles. Vous pouvez utiliser les commandes suivantes pour affecter le rôle Signataire du profil de certificat de signature approuvé aux utilisateurs et aux principaux de service pour signer des fichiers :
az role assignment create --assignee <objectId of user/service principle> --role "Trusted Signing Certificate Profile Signer" --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource-group-name>/providers/Microsoft.CodeSigning/codeSigningAccounts/<trustedsigning-account-name>/certificateProfiles/<profileName>"