Tutorial: Weisen Sie Rollen in Trusted Signing zu
Der Trusted Signing-Dienst verfügt über einige Service-spezifische Rollen zusätzlich zu den Azure-Standardrollen. Verwenden Sie die rollenbasierte Zugriffssteuerung (Azure Role-Based Access Control, RBAC), um Benutzer- und Gruppenrollen für die Trusted Signing-spezifischen Rollen zuzuweisen.
In diesem Tutorial überprüfen Sie unterstützte Rollen für Trusted Signatur. Anschließend weisen Sie Ihrem Trusted Signing-Konto im Azure-Portal Rollen zu.
Unterstützte Rollen für Trusted Signing
In der folgenden Tabelle sind die von Trusted Signing unterstützten Rollen aufgeführt, einschließlich der Funktionen, auf die jede Rolle innerhalb der Ressourcen des Dienstes zugreifen kann:
| Role | Verwalten und Anzeigen von Konten | Verwalten von Zertifikatprofilen | Signieren mithilfe eines Zertifikatprofils | Signierungsverlauf anzeigen | Verwalten einer Rollenzuweisung | Verwalten einer Identitätsüberprüfung |
|---|---|---|---|---|---|---|
| Trusted Signing Identitätsüberprüfer | x | |||||
| Signaturgeber für das Trusted Signing-Zertifikatprofil | x | x | ||||
| Besitzer | x | x | x | |||
| Mitwirkender | x | x | ||||
| Leser | x | |||||
| Administrator für Benutzerzugriff | x |
Die Rolle "Trusted Signing Identity Verifier" ist erforderlich, um Identitätsüberprüfungsanforderungen zu verwalten, die Sie nur im Azure-Portal ausführen können und nicht mithilfe der Azure CLI. Die Rolle "Signierer für Trusted Signing-Zertifikate" ist erforderlich, um mithilfe von Trusted Signing erfolgreich zu signieren.
Zuweisen von Rollen
Navigieren Sie im Azure-Portal zu Ihrem Trusted Signing-Konto. Wählen Sie im Ressourcenmenü Zugriffssteuerung (IAM) aus.
Wählen Sie unter der Registerkarte Rollen die Option Trusted Signing aus. Die folgende Abbildung zeigt die beiden benutzerdefinierten Rollen.
Um diese Rollen zuzuweisen, wählen Sie Hinzufügen und dann Rollenzuweisung hinzufügen aus. Folgen Sie dem Leitfaden Zuweisen von Rollen in Azure, um Ihren Identitäten die relevanten Rollen zuzuweisen.
Um ein Trusted Signing-Konto und ein Zertifikatprofil zu erstellen, müssen Sie mindestens die Rolle Mitwirkender zugewiesen haben.
Für eine genauere Zugriffssteuerung auf Zertifikatsprofilebene können Sie die Azure CLI verwenden, um Rollen zuzuweisen. Mit den folgenden Befehlen können Sie Benutzern und Dienstprinzipalen die Rolle "Trusted Signing Certificate Profile Signer" zuweisen, um Dateien zu signieren:
az role assignment create --assignee <objectId of user/service principle> --role "Trusted Signing Certificate Profile Signer" --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource-group-name>/providers/Microsoft.CodeSigning/codeSigningAccounts/<trustedsigning-account-name>/certificateProfiles/<profileName>"