2017-02-09 17 views
0

Я пытаюсь создать хранилище главного ключа, которое будет содержать все сертификаты для аутентификации в качестве определенного пользователя.Проблема с ссылкой KeyVault в шаблоне ARM

У меня есть два принципа обслуживания => Один для моего приложения, один для развертывания. Идея заключается в том, что руководитель службы развертывания получает доступ к хранилищу ключей и добавляет сертификат, расположенный в хранилище веб-приложений.

Я создал принципала обслуживания, и я дал ему все разрешения на ключевое хранилище. Также я включил секреты доступа в шаблонах ARM для этого ключевого хранилища.

Использование powershell Я могу войти в систему как развертывание SP и получение секретности (сертификата).

Однако это не работает при развертывании шаблона ARM со ссылкой на хранилище ключей. Я получил следующее сообщение об ошибке:

New-AzureRmResourceGroupDeployment : 11:16:44 - Resource Microsoft.Web/certificates 'test-certificate' failed with message '{ "Code": "BadRequest", "Message": "The service does not have access to '/subscriptions/98f06e7e-1016-4088-843f-62690f3bb306/resourcegroups/rg-temp/providers/microsoft.keyvault/vaults/master-key-vault' Key Vault. Please make sure that you have granted necessary permissions to the service to perform the request operation.", "Target": null, "Details": [ { "Message": "The service does not have access to '/subscriptions/xxxx/resourcegroups/xxx/providers/microsoft.keyvault/vaults/master-key-vault' Key Vault. Please make sure that you have granted necessary permissions to the service to perform the request operation." },

Мой шаблон ARM выглядит следующим образом:

{ 
    "type":"Microsoft.Web/certificates", 
    "name":"test-certificate", 
    "apiVersion":"2016-03-01", 
    "location":"[resourceGroup().location]", 
    "properties":{ 
     "keyVaultId":"[resourceId('rg-temp', 'Microsoft.KeyVault/vaults', 'master-key-vault')]", 
     "keyVaultSecretName":"kv-certificate-test", 
     "serverFarmId":"[resourceId('Microsoft.Web/serverfarms', 'asp-test')]" 
    } 
    }, 

Является ли это ошибка? Потому что я могу получить сертификат, используя Deploy SP с:

$key = Get-AzureKeyVaultSecret -VaultName "master-key-vault" -Name "testenvironmentcertificate" 

Это мой шаблон ARM: (примечание, ключ жизни хранилища в другой группе ресурсов, чем ресурсы в шаблоне ARM)

{ 
"$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json", 
"contentVersion": "1.0.0.0", 
"parameters": {}, 
"variables": {}, 
"resources": [ 
    { 
    "type":"Microsoft.Web/certificates", 
    "name":"test-certificate", 
    "apiVersion":"2016-03-01", 
    "location":"[resourceGroup().location]", 
    "properties":{ 
     "keyVaultId":"/subscriptions/xxx/resourceGroups/rg-temp/providers/Microsoft.KeyVault/vaults/xxx", 
     "keyVaultSecretName":"testcert", 
     "serverFarmId":"[resourceId('Microsoft.Web/serverfarms', 'asp-test')]" 
    } 
    }, 
    { 
     "name": "wa-test1", 
     "type": "Microsoft.Web/sites", 
     "location": "[resourceGroup().location]", 
     "apiVersion": "2016-08-01", 
     "dependsOn": [ 
      "[concat('Microsoft.Web/serverfarms/', 'asp-test')]" 
     ], 
     "tags": { 
      "[concat('hidden-related:', resourceGroup().id, '/providers/Microsoft.Web/serverfarms/asp-test')]": "Resource", 
      "displayName": "wa-test1" 
     }, 
     "properties": { 
      "name": "wa-test1", 
      "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', 'asp-test')]" 
     } 
    }, 
    { 
     "name": "asp-test", 
     "type": "Microsoft.Web/serverfarms", 
     "location": "[resourceGroup().location]", 
     "apiVersion": "2014-06-01", 
     "dependsOn": [], 
     "tags": { 
      "displayName": "appServicePlan" 
     }, 
     "properties": { 
      "name": "asp-test", 
      "sku": "Free", 
      "workerSize": "Small", 
      "numberOfWorkers": 1 
     } 
    } 
], 
"outputs": {} 
} 
+0

вы можете поделиться шаблон? вы можете удалить конфиденциальную информацию – 4c74356b41

+0

Я отредактировал мой вопрос :) – Identity

+0

ОК, на первый взгляд это выглядит отлично, я не уверен, что может быть неправильно, вы можете создать другое ключевое хранилище и просто использовать свою подписку администратора для развертывания шаблон (и проверить, что у администратора есть все права на keyvault, а keyvault позволяет развертывать шаблоны?)? – 4c74356b41

ответ

2

Я считаю, что вам не хватает разрешений на поставщик ресурсов для доступа Key Vault, поэтому WebApp использует свой собственный провайдер ресурсов, чтобы сделать это, вам нужно предоставить, что доступ RP к основному своду:

Set-AzureRmKeyVaultAccessPolicy -VaultName KEYVAULTNAME -Servi cePrincipalName abfa0a7c-a6b6-4736-8310-5855508787cd -PermissionsToSecrets получить

Ссылка:

https://blogs.msdn.microsoft.com/appserviceteam/2016/05/24/deploying-azure-web-app-certificate-through-key-vault/

+0

Я проверил второй флажок в разделе => My key vault => Расширенные политики доступа. Даже при использовании моего администратора подписки при развертывании шаблона ARM, дает мне ту же ошибку, любые идеи? – Identity

+0

Я выполнил эту команду, однако я не использовал «abfa0a7c-a6b6-4736-8310-5855508787cd», но вместо этого использовал идентификатор развертывания. Спасибо за ответ, он работает! – Identity

Смежные вопросы