Tutorial: Atribuir funções na Assinatura Confiável
O serviço de Assinatura Confiável tem algumas funções específicas do serviço, além das funções padrão do Azure. Use o RBAC (controle de acesso baseado em função) do Azure para atribuir funções de usuário e grupo para as funções específicas de Assinatura Confiável.
Neste tutorial, você analisa as funções suportadas de Assinatura Confiável. Em seguida, você atribui funções à sua conta de Assinatura Confiável no portal do Azure.
Funções suportadas para Assinatura Confiável
A tabela a seguir lista as funções suportadas pela Assinatura Confiável, incluindo o que cada função pode acessar dentro dos recursos do serviço:
| Role | Gerir e visualizar a conta | Gerenciar perfis de certificado | Assinar usando um perfil de certificado | Ver histórico de assinaturas | Gerenciar atribuição de função | Gerenciar validação de identidade |
|---|---|---|---|---|---|---|
| Verificador de Identidade da Assinatura Fidedigna | x | |||||
| Signatário do Perfil de Certificado de Assinatura Fidedigna | x | x | ||||
| Proprietário | x | x | x | |||
| Contribuinte | x | x | ||||
| Leitor | x | |||||
| Administrador de Acesso dos Utilizadores | x |
A função Verificador de Identidade de Assinatura Confiável é necessária para gerenciar solicitações de validação de identidade, o que você pode fazer somente no portal do Azure, e não usando a CLI do Azure. A função Signatário de Perfil de Certificado de Assinatura Confiável é necessária para assinar com êxito usando a Assinatura Confiável.
Atribuir funções
No portal do Azure, aceda à sua conta de Assinatura Fidedigna. No menu de recursos, selecione Controle de acesso (IAM).
Selecione a guia Funções e procure Assinatura Confiável. A figura a seguir mostra as duas funções personalizadas.
Para atribuir essas funções, selecione Adicionar e, em seguida, selecione Adicionar atribuição de função. Siga as orientações em Atribuir funções no Azure para atribuir as funções relevantes às suas identidades.
Para criar uma conta de Assinatura Confiável e um perfil de certificado, você deve receber pelo menos a função de Colaborador .
Para obter um controle de acesso mais granular no nível do perfil de certificado, você pode usar a CLI do Azure para atribuir funções. Você pode usar os seguintes comandos para atribuir a função de Signatário de Perfil de Certificado de Assinatura Confiável a usuários e entidades de serviço para assinar arquivos:
az role assignment create --assignee <objectId of user/service principle> --role "Trusted Signing Certificate Profile Signer" --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource-group-name>/providers/Microsoft.CodeSigning/codeSigningAccounts/<trustedsigning-account-name>/certificateProfiles/<profileName>"