你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
可以使用 Azure AD 服务主体为 Azure CycleCloud 授予管理订阅中的群集的权限。 此方法是使用 托管标识的替代方法。
我们通常建议使用 系统分配 或 User-Assigned 托管标识 来授予这些权限,而不是服务主体。
创建服务主体
Azure CycleCloud 需要一个具有管理权限的服务主体来管理你的 Azure 订阅。 如果没有服务主体,可以使用 Azure CLI 创建一个服务主体,如以下示例所示。
注释
服务主体名称 必须 是唯一的。 在以下示例中, CycleCloudApp 应替换为唯一名称。 如果使用现有名称运行命令,它将替换现有服务主体并使其失效。
az ad sp create-for-rbac --name CycleCloudApp --years 1
输出显示一系列信息。 请保存appId、password和tenant值:
"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
权限
具有足够访问权限的最简单选项是将订阅的参与者角色分配给新的 CycleCloud 服务主体。 但是,“参与者”角色的特权级别高于 CycleCloud 所需的权限级别。 相反,可以创建 自定义角色 并将其分配给 VM。
托管标识指南详细介绍如何为服务主体创建适合的低权限 AD 角色。
若要使用服务主体向 CycleCloud 授予权限,请确保选择 “应用注册 ”选项。
