你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
受信任的签名使用 Azure 基于角色的访问控制(RBAC) 来控制对标识和证书配置文件的访问。 以下角色对于启用工作流至关重要:
| 角色名称 | 目的 | 注释 |
|---|---|---|
| 受信任的签名标识验证程序 | 管理标识验证请求所必需的 | 只能在 Azure 门户中使用 - 不支持通过 Azure CLI |
| 受信任的签名证书概要签名人 | 成功使用 Azure 受信任签名所需的条件 | 签名操作所必需的;适用于 Azure CLI 和 Azure 门户 |
在本教程中,您将查看受信任签名支持的角色,并了解如何使用 Azure 门户将这些角色分配给您的受信任签名资源。
受信任签名支持的角色
下表列出了受信任的签名支持的角色,包括每个角色可以访问服务资源中的内容:
| 角色 | 管理和查看帐户 | 管理证书配置文件 | 使用证书配置文件进行签名 | 查看签名历史记录 | 管理角色分配 | 管理标识验证 |
|---|---|---|---|---|---|---|
| 受信任的签名标识验证程序 | x | |||||
| 受信任的签名证书配置文件签名程序 | x | x | ||||
| 所有者 | x | x | x | |||
| 贡献者 | x | x | ||||
| 读取者 | x | |||||
| 用户访问管理员 | x |
受信任的签名标识验证程序角色是必须的,用于管理标识验证请求,这只能在 Azure 门户中完成,而不能使用 Azure CLI。 为了使用受信任签名成功签名,需要受信任签名证书配置文件签名者角色。
分配角色
在 Azure 门户中,转到受信任签名帐户。 在资源菜单上,选择“访问控制”(IAM)。
选择“ 角色 ”选项卡并搜索 “受信任的签名”。 下图显示了两个自定义角色。
若要分配这些角色,请选择“ 添加”,然后选择“ 添加角色分配”。 请遵循 Azure 中的分配角色 指南,将相关角色分配给您的身份。
要创建受信任签名帐户和证书配置文件,必须至少具有参与者角色。
若要在证书配置文件级别进行更精细的访问控制,可以使用 Azure CLI 分配角色。 可以使用以下命令将受信任的签名证书配置文件签名者角色分配给用户和服务主体来对文件进行签名:
az role assignment create --assignee <objectId of user/service principle> --role "Trusted Signing Certificate Profile Signer" --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource-group-name>/providers/Microsoft.CodeSigning/codeSigningAccounts/<trustedsigning-account-name>/certificateProfiles/<profileName>"