Tutorial: atribuir funções na Autenticação Confiável
O serviço de Assinatura Confiável tem algumas funções específicas do serviço, além das funções padrão do Azure. Use o RBAC (controle de acesso baseado em função) do Azure para atribuir funções de usuário e grupo para as funções específicas de Assinatura Confiável.
Neste tutorial, você examinará as funções compatíveis com a Assinatura Confiável. Em seguida, você irá atribuir funções à sua conta de Assinatura Confiável no portal do Azure.
Funções com suporte para Assinatura Confiável
A tabela a seguir lista as funções com suporte na Autenticação Confiável, inclusive o que cada função pode acessar dentro dos recursos do serviço:
| Função | Gerenciar e exibir conta | Gerenciar perfis de certificado | Assinar usando um perfil de certificado | Exibir histórico de autenticação | Gerenciar atribuição de função | Gerenciar validação de identidade |
|---|---|---|---|---|---|---|
| Verificador de Identidade da Autenticação Confiável | x | |||||
| Signatário do Perfil de Certificado de Autenticação Confiável | x | x | ||||
| Proprietário | x | x | x | |||
| Colaborador | x | x | ||||
| Leitor | x | |||||
| Administrador de Acesso do Usuário | x |
A função Verificador de Identidade de Assinatura Confiável é necessária para gerenciar solicitações de validação de identidade, o que você pode fazer apenas no portal Azure, e não usando a CLI do Azure. A função de Signatário de Perfil de Certificado de Autenticação Confiável é necessária para assinar com êxito usando a Assinatura Confiável.
Atribuir funções
No portal do Azure, acesse sua conta de Assinatura Confiável. No menu de recursos, selecione Controle de Acesso (IAM).
Selecione a guia Funções e pesquise Assinatura Confiável. A figura a seguir mostra as duas funções personalizadas.
Para atribuir essas funções, selecione Adicionar e, em seguida, selecione Adicionar atribuição de função. Siga as diretrizes em Atribuir funções no Azure para atribuir as funções relevantes às suas identidades.
Para criar uma conta de Assinatura Confiável e um perfil de certificado, você deve receber pelo menos a função Colaborador.
Para um controle de acesso mais granular no nível do perfil do certificado, você pode usar a CLI do Azure para atribuir funções. Você pode usar os seguintes comandos para atribuir a função de Signatário de Perfil de Certificado de Autenticação Confiável a usuários e entidades de serviço para assinar arquivos:
az role assignment create --assignee <objectId of user/service principle> --role "Trusted Signing Certificate Profile Signer" --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource-group-name>/providers/Microsoft.CodeSigning/codeSigningAccounts/<trustedsigning-account-name>/certificateProfiles/<profileName>"