Azure KeyVault托管存储帐户
[英]Azure KeyVault Managed Storage Account
问题描述
我正在尝试在Azure中实施KeyVault托管存储帐户,以使用KeyVault轮换存储密钥。 我确实遵循了同时使用“ ServicePrincipalID”和“ UserPrincipalID”的文档,但就我而言,我正在调配资源并实施使用服务主体(当我们使用带有服务主体的VSTS进行部署)和使用“ ServicePrincipalID”所涉及的所有步骤。作为ObjectID代替“ UserPrincipalID”(因为在预配和预配过程中无需用户干预)。 我确实赋予了服务主体“所有者”角色,并赋予了密钥库访问存储所需的所有权限。 但是,当我执行“ Add-AzureKeyVaultManagedStorageAccount”时,出现以下错误,提示“ KeyVault无法代表呼叫者执行操作”。 因此,即使将我的校长定为所有者,我也不确定仍缺少什么访问权限。 请在下面找到我的屏幕截图以获取更多详细信息。 我们很高兴听到任何克服这一障碍的建议。
感谢Chaitanya Alladi。
1 个解决方案
解决方案1
0 已采纳 2018-05-16 01:15:49
我收到以下错误,提示“ KeyVault无法代表呼叫者执行操作”。 因此,即使将我的校长定为所有者,我也不确定仍缺少什么访问权限。
不幸的是 ,我们现在不能用服务原理来做到这一点。 AAD不支持将OBO(OnBehalfOf)令牌用于服务原理调用者令牌。
我们需要使用用户凭据而不是服务主体凭据 。 到目前为止,有些操作只能代表用户,而不能针对服务主体执行某些操作。
如何将Azure用户管理标识的分配转换为存储帐户?
[英]How to Terraform assignment of Azure User Managed Identity to a storage account?
Azure 二头肌传递存储帐户连接字符串到 Secret Keyvault 循环问题
[英]Azure bicep Pass Storage Account Connection String to Secret Keyvault loop issue
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.