背景
会社で、Key Vault で証明書が作成出来ない、閲覧すらできない!って話があったので調べてみた記録。
基本は、Key Vault の RBAC に関しての説明
当初の問題
- key valut の割り当て Role にそれっぽいものがなく、それぞれ割り当てても、閲覧までは行けたが、作成が出来ない。
原因
- Portal 上で、RBAC の Role 名表記での日本語訳統一がされていない為、見つけられていなかった。
以下は、Portal上での Role名を「key」「キー」で検索した結果(左側)と、ドキュメント上のデータプレーンの Role を比較したもの。
- 分かること
- Portal 上ではコントロールプレーンかデータプレーン化を見極めるのは簡単ではない。
- 一度の検索で関連 Role を表示する方法は簡単ではない。
対策1: Azure CLI などで実施する
-
assign role の例
- "Key Vault Secrets Officer"
- "Key Vault Certificates Officer"
-
assignee-upn の取得例
az account show --query user.name
-
role 割り当て例
az role assignment create --role {assign role} --assignee {assignee-upn} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}
- 実行したい subscription を確認して、切り替えておくこと
az account list -o table
az account set -s {SubscriptionId}
対策2: Portal で、id 検索する
- "Key Vault Certificates Officer" なら、以下のように
a4417e6f-fecd-4de8-b567-7b0420556985
ドキュメント
RBACの Role 名の検索結果比較
- 日本語に訳そうとするあまり、統一されてないと分かりづらくなるっていうよくあるやつ
検索キーワード比較:「key」「キー」で表記揺れが残っている
- 「key」で
- 「キー」で
- Key Vault Certificates Officer を「id」で
- Key Vault Certificate User を「id」で
error 記録
ついでに
この操作は RBAC で許可されていません。ロールの割り当てが最近変更された場合は、ロールの割り当てが有効になるまで数分お待ちください。
- 単純に、Role 不足
Property policy.x509_props has invalid value. Invalid X.500 distinguished name
- 設定ミス
"CN=example.com, O=Example Inc., L=City, S=State, C=Country"
こんな感じで正しいものを入れればOK
あとがき
まぁ、Portal 上って試作とかの段階でサクッと出来ることが目的だろうから、しゃーないとも思う。ただ、いっそ、原文と翻訳に分けて表示、もしくは切り替えられた方が・・とも。英語版に全部しちゃえって話もありますが・・ :p