信頼された署名では、 Azure ロールベースのアクセス制御 (RBAC) を使用して、ID と証明書プロファイルを検証するためのアクセスを制御します。 ワークフローを有効にするには、次のロールが不可欠です。
| 役割名 | 目的 | 注記 |
|---|---|---|
| 信頼された署名 ID 検証ツール | ID 検証要求を管理するために必要 | Azure portal でのみ使用できます。Azure CLI ではサポートされていません |
| 信頼された署名証明書プロファイル署名者 | Azure 信頼済み署名を使用して正常に署名するために必要です | 署名操作に必要です。Azure CLI とポータルの両方で動作する |
このチュートリアルでは、信頼できる署名でサポートされているロールを確認し、Azure portal を使用して信頼できる署名リソースに割り当てる方法について説明します。
信頼された署名に対してサポートされている役割
次の表に、各ロールがサービスのリソース内でアクセスできる内容を含め、信頼できる署名でサポートされるロールを示します。
| 役割 | アカウントの管理と表示 | 証明書プロファイルを管理する | 証明書プロファイルを使用した署名 | 署名履歴の表示 | ロールの割り当てを管理する | ID 検証の管理 |
|---|---|---|---|---|---|---|
| 信頼された署名 ID 検証者 | x | |||||
| 信頼された署名証明書プロファイル署名者 | x | x | ||||
| オーナー | x | x | x | |||
| 投稿者 | x | x | ||||
| Reader | x | |||||
| ユーザー アクセス管理者 | x |
ID 検証要求を管理するには、信頼された署名 ID 検証ツール ロールが 必要 です。これは、Azure CLI を使用してではなく、Azure portal でのみ実行できます。 信頼された署名を使用して正常に署名するには、信頼された署名証明書プロファイル署名者ロールが必要です。
ロールを割り当てる
Azure portal で、信頼された署名アカウントに移動します。 リソース メニューで、 アクセス制御 (IAM) を選択します。
[ ロール ] タブを選択し、[ 信頼できる署名] を検索します。 次の図は、2 つのカスタム ロールを示しています。
これらのロールを割り当てるには、[ 追加] を選択し、[ ロールの割り当ての追加] を選択します。 Azure のロール割り当てに関するガイダンスに基づいて、関連するロールをアイデンティティに割り当てます。
信頼された署名アカウントと証明書プロファイルを作成するには、少なくとも 共同作成者 ロールが割り当てられている必要があります。
証明書プロファイル レベルでより詳細なアクセス制御を行うには、Azure CLI を使用してロールを割り当てることができます。 次のコマンドを使用して、信頼された署名証明書プロファイル署名者ロールをユーザーとサービス プリンシパルに割り当ててファイルに署名できます。
az role assignment create --assignee <objectId of user/service principle> --role "Trusted Signing Certificate Profile Signer" --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource-group-name>/providers/Microsoft.CodeSigning/codeSigningAccounts/<trustedsigning-account-name>/certificateProfiles/<profileName>"