#azure #ssl-certificate #access-denied #rbac #role-based-access-control
#azure #ssl-сертификат #доступ запрещен #rbac #управление доступом на основе ролей
Вопрос:
Azure RBAC: встроенные роли — участник веб-сайта
По приведенной выше ссылке указано Website Contributor , что он должен иметь возможность
Microsoft.Web/сертификаты/* Создание сертификатов веб-сайта и управление ими
но на самом деле пользователь не может управлять сертификатами (добавлять / удалять / загружать новые). Пользователь получает Access denied текст, размещенный поверх SSL Certificates блейда веб-приложения Azure. Проверенный пользователь может загружать / управлять SSL-сертификатами, только если у пользователя есть уровень группы ресурсов Owner или роль уровня группы ресурсов Contributor , а не Website Contributor роль. Я неправильно интерпретирую Create and manage website certificates правило ИЛИ оно должно работать так, как указано?
Комментарии:
1. Вероятно, вам не хватает другого разрешения роли для выполнения этого. Вы можете использовать PowerShell для выполнения той же операции, и он явно выдаст вам ошибку, например, вам не хватает, скажем, разрешения Microsoft.Web / modify или что-то в этом роде.
Ответ №1:
Вы правы, что это не будет работать для «участника веб-сайта» на уровне веб-приложения. По следующему URL-адресу https://azure.microsoft.com/en-gb/documentation/articles/role-based-access-control-troubleshooting / Корпорация Майкрософт заявляет, что вам необходим доступ на запись ко всей группе ресурсов, чтобы иметь возможность устанавливать SSL, поскольку «сертификаты SSL могут использоваться совместно сайтами в одной группе ресурсов и в одном географическом местоположении».
Сейчас я пытаюсь понять, как я могу ограничить доступ пользователя к другим ресурсам в группе ресурсов, не создавая новую группу ресурсов специально для моих веб-приложений.