Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Подписывание артефактов использует управление доступом на основе ролей Azure (RBAC) для контроля удостоверений и профилей сертификатов. Для активации рабочих процессов необходимы следующие роли:
| Имя роли | Цель | Примечания. |
|---|---|---|
| Проверка подлинности подписания артефактов | Требуется для управления запросами на проверку удостоверений | Можно использовать только на портале Azure— не поддерживается с помощью Azure CLI |
| Подписывание профиля сертификата артефакта | Требуется для успешного входа с помощью подписи Артефакта Azure | Требуется для операций подписывания; работает как с Azure CLI, так и с порталом |
В этом руководстве вы изучите поддерживаемые роли для подписывания артефактов и узнайте, как назначить их ресурсам подписывания артефактов с помощью портала Azure.
Поддерживаемые роли для подписи артефактов
В следующей таблице перечислены роли, которые поддерживает подписывание артефактов, включая ресурсы службы, доступные для каждой роли.
| Role | Управление учетной записью и просмотр | Управление профилями сертификатов | Вход с помощью профиля сертификата | Просмотр журнала подписывания | Управление назначением ролей | Управление проверкой удостоверений |
|---|---|---|---|---|---|---|
| Средство проверки подписи артефактов | x | |||||
| Сертификат подписи артефакта Подписант | x | x | ||||
| Владелец | x | x | x | |||
| Contributor | x | x | ||||
| Читатель | x | |||||
| Администратор доступа пользователей | x |
Роль средства проверки идентификации для подписи артефактов требуется для управления запросами на проверку удостоверений, которые можно выполнять только на портале Azure, а не с помощью Azure CLI. Роль "Подписывающий профиль сертификата для подписания артефактов" необходима для успешного выполнения операции подписи с использованием подписи артефакта.
Назначьте роли
На портале Azure перейдите к учетной записи подписывания артефактов. В меню ресурсов выберите "Управление доступом" (IAM).
Перейдите на вкладку «Роли» и найдите Artifact Signing. На следующем рисунке показаны две пользовательские роли.
Чтобы назначить эти роли, нажмите кнопку "Добавить", а затем выберите "Добавить назначение ролей". Следуйте инструкциям в статье "Назначение ролей в Azure", чтобы назначить соответствующие роли вашим идентификациям.
Чтобы создать учетную запись для подписи артефактов и профиль сертификата, вам должна быть назначена как минимум роль участника.
Для более детального управления доступом на уровне профиля сертификата можно использовать Azure CLI для назначения ролей. Для подписывания файлов можно использовать следующие команды, чтобы назначить роль подписыватель профиля сертификата артефакта пользователям и субъектам-службам:
az role assignment create --assignee <objectId of user/service principle> --role "Artifact Signing Certificate Profile Signer" --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource-group-name>/providers/Microsoft.CodeSigning/codeSigningAccounts/<artifactsigning-account-name>/certificateProfiles/<profileName>"