チュートリアル: 信頼された署名でロールを割り当てる
信頼された署名サービスには、標準 Azure ロールの他にも、いくつかのサービス固有のロールがあります。 Azure のロールベースのアクセス制御 (RBAC) を使用して、信頼された署名に固有のロール用のユーザーおよびグループ ロールを割り当てます。
このチュートリアルでは、信頼された署名でサポートされているロールを確認します。 次に、Azure portal で信頼された署名アカウントにロールを割り当てます。
信頼された署名でサポートされているロール
次の表は、信頼された署名がサポートしているロールの一覧を示しており、これには各ロールがこのサービスのリソース内の何にアクセスできるかも含まれています。
| ロール | アカウントの管理と表示 | 証明書プロファイルを管理する | 証明書プロファイルを使用した署名 | 署名履歴の表示 | ロールの割り当てを管理する | ID 検証の管理 |
|---|---|---|---|---|---|---|
| 信頼された署名 ID 検証者 | x | |||||
| 信頼された署名証明書プロファイル署名者 | x | x | ||||
| Owner | x | x | x | |||
| Contributor | x | x | ||||
| Reader | x | |||||
| ユーザー アクセス管理者 | x |
ID 検証要求を管理するには、信頼された署名 ID 検証者ロールが "必要" です。これを実行できるのは Azure portal においてだけであり、Azure CLI を使用しては実行できません。 信頼された署名を使用して正常に署名を行うには、信頼された署名証明書プロファイル署名者ロールが必要です。
ロールの割り当て
Azure portal で、信頼された署名アカウントに移動します。 リソース メニューで、[アクセスの制御 (IAM)] を選択します。
[ロール] タブを選択し、[信頼された署名] を検索します。 次の図は、2 つのカスタム ロールを示しています。
これらのロールを割り当てるには、[追加] を選択した後、[ロールの割り当ての追加] を選択します。 「Azure でのロールの割り当て」のガイダンスに従って、関連するロールを ID に割り当てます。
信頼された署名アカウントと証明書プロファイルを作成するには、少なくとも "共同作成者" ロールが割り当てられている必要があります。
証明書プロファイル レベルでより詳細なアクセス制御を行うために、Azure CLI を使用してロールを割り当てることができます。 次のコマンドを使用して、信頼された署名証明書プロファイル署名者ロールをユーザーとサービス プリンシパルに割り当ててファイルに署名することができます。
az role assignment create --assignee <objectId of user/service principle> --role "Trusted Signing Certificate Profile Signer" --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource-group-name>/providers/Microsoft.CodeSigning/codeSigningAccounts/<trustedsigning-account-name>/certificateProfiles/<profileName>"